腾讯23岁安全工程师因测试酒店WIFI并公布管理员密码被罚款,或面临三年刑期

xiannv  2288天前

腾讯的23岁安全工程师Zheng Dutao,在新加坡参加CTF期间,顺手友情测试了酒店WIFI,然后把过程发到了个人博客。紧接着就被新加坡国家安全局盯上,以未授权入侵的罪名被抓捕,可能面临10000美金和三年的刑期,24日法庭判罚5000美金。

229346173866009792.jpg

在新加坡参加CTF期间,中国互联网巨头腾讯控股(Tencent Holdings)23岁的安全工程师郑都涛(RicterZ)很想知道Fragrance酒店分公司的WiFi服务器有没有漏洞,于是决定测试他所居住的酒店的WiFi。

郑成功入侵了服务器并在博客中发表了一篇名为“Exploit Singapore Hotels”的帖子,其中他发布了酒店管理员的服务器密码。该博文引起了新加坡网络安全局(CSA)的注意。

周一(9月24日),郑在国家法院因犯罪被罚款5,000美元。他承认有一项故意披露密码的指控,该密码未经授权访问,属于Fragrance酒店的数据。

郑上个月抵达新加坡参加“CTF”比赛,该比赛是在洲际酒店举行的网络安全会议上进行的。竞争对手涉及黑客攻击和反黑客行为的安全专家。

郑在8月27日入住武吉士的Fragrance酒店。一天后,他对酒店WiFi服务器可能存在的漏洞感到好奇。他成功通过谷歌搜索了酒店WiFi系统的默认用户名和密码。

连接到酒店的WiFi网关后,郑在接下来的三天内执行了脚本,解密文件和破解密码,然后才能访问酒店WiFi服务器的数据库。

酒店服务器模型有一个漏洞,郑利用该漏洞获取对服务器的访问权限。他还试图访问Fragrance酒店的印度分公司的WiFi服务器,但失败了。

郑在他的个人博客上记录了他的黑客行为。他在博客帖子中发布了Fragrance酒店的WiFi服务器的管理员密码,并在WhatsApp群聊中分享了他的博客帖子的URL链接。

“通过披露这些访问代码,郑知道,Fragrance酒店的WiFi服务器中的漏洞很可能会被其他人用于非法目的,可能会给连锁酒店造成损失,”副检察官(DPP)Thiagesh Sukumaran说。

检方表示,自2014年以来,郑一直在撰写关于服务器漏洞的博客。这是他第一次发布自己发现的漏洞。

CSA注意到了他的博客,并提醒Fragrance酒店的管理层。在他被要求之后,郑将博客文章下线了。Fragrance酒店IT副总裁于9月1日提交了一份关于黑客行为的警方报告。

检方要求罚款5,000美元,并指出郑似乎出于好奇而犯了罪,并且没有造成“有形伤害”。但DPP注意到博客帖子在不止一个论坛上分享。

DPP说:“作为一名安全专业人士,郑先生已经知道,通过在他的博客上公布管理员密码,恶意人员使用密码的可能性很高。”

根据检方的说法,由于其他酒店采用相同的服务器模式,郑的行为可能导致其他酒店成为网络攻击的受害者,黑客可以获取酒店客人的信息。

DPP补充说,这一判决旨在阻止外国人在没有授权的情况下访问新加坡系统。

郑的律师Anand Nalachandran指出,虽然郑的行为导致风险增加,但并未对酒店造成实际损害。由于郑已经在监管期间待了几天,律师要求罚款不超过5000美元。

对于未经授权披露密码的罪行,郑某可能被判入狱三年,最高罚款 10,000美元。

国庆节马上就要到了,白帽汇安全研究院提醒大家出门别乱搞,手痒的时候可以打开nosec发表文章。

测试过程:https://www.aqbeta.com/data/201808/153569948914216.html

来源:https://sg.news.yahoo.com

最新评论

郑成功  :  郑成功入侵了**
2286天前 回复
昵称
邮箱
提交评论