腾讯23岁安全工程师因测试酒店WIFI并公布管理员密码被罚款，或面临三年刑期

腾讯的23岁安全工程师Zheng Dutao，在新加坡参加CTF期间，顺手友情测试了酒店WIFI，然后把过程发到了个人博客。紧接着就被新加坡国家安全局盯上，以未授权入侵的罪名被抓捕，可能面临10000美金和三年的刑期，24日法庭判罚5000美金。

在新加坡参加CTF期间，中国互联网巨头腾讯控股（Tencent Holdings）23岁的安全工程师郑都涛（RicterZ）很想知道Fragrance酒店分公司的WiFi服务器有没有漏洞，于是决定测试他所居住的酒店的WiFi。

郑成功入侵了服务器并在博客中发表了一篇名为“Exploit Singapore Hotels”的帖子，其中他发布了酒店管理员的服务器密码。该博文引起了新加坡网络安全局（CSA）的注意。

周一（9月24日），郑在国家法院因犯罪被罚款5,000美元。他承认有一项故意披露密码的指控，该密码未经授权访问，属于Fragrance酒店的数据。

郑上个月抵达新加坡参加“CTF”比赛，该比赛是在洲际酒店举行的网络安全会议上进行的。竞争对手涉及黑客攻击和反黑客行为的安全专家。

郑在8月27日入住武吉士的Fragrance酒店。一天后，他对酒店WiFi服务器可能存在的漏洞感到好奇。他成功通过谷歌搜索了酒店WiFi系统的默认用户名和密码。

连接到酒店的WiFi网关后，郑在接下来的三天内执行了脚本，解密文件和破解密码，然后才能访问酒店WiFi服务器的数据库。

酒店服务器模型有一个漏洞，郑利用该漏洞获取对服务器的访问权限。他还试图访问Fragrance酒店的印度分公司的WiFi服务器，但失败了。

郑在他的个人博客上记录了他的黑客行为。他在博客帖子中发布了Fragrance酒店的WiFi服务器的管理员密码，并在WhatsApp群聊中分享了他的博客帖子的URL链接。

“通过披露这些访问代码，郑知道，Fragrance酒店的WiFi服务器中的漏洞很可能会被其他人用于非法目的，可能会给连锁酒店造成损失，”副检察官（DPP）Thiagesh Sukumaran说。

检方表示，自2014年以来，郑一直在撰写关于服务器漏洞的博客。这是他第一次发布自己发现的漏洞。

CSA注意到了他的博客，并提醒Fragrance酒店的管理层。在他被要求之后，郑将博客文章下线了。Fragrance酒店IT副总裁于9月1日提交了一份关于黑客行为的警方报告。

检方要求罚款5,000美元，并指出郑似乎出于好奇而犯了罪，并且没有造成“有形伤害”。但DPP注意到博客帖子在不止一个论坛上分享。

DPP说：“作为一名安全专业人士，郑先生已经知道，通过在他的博客上公布管理员密码，恶意人员使用密码的可能性很高。”

根据检方的说法，由于其他酒店采用相同的服务器模式，郑的行为可能导致其他酒店成为网络攻击的受害者，黑客可以获取酒店客人的信息。

DPP补充说，这一判决旨在阻止外国人在没有授权的情况下访问新加坡系统。

郑的律师Anand Nalachandran指出，虽然郑的行为导致风险增加，但并未对酒店造成实际损害。由于郑已经在监管期间待了几天，律师要求罚款不超过5000美元。

对于未经授权披露密码的罪行，郑某可能被判入狱三年，最高罚款 10,000美元。

国庆节马上就要到了，白帽汇安全研究院提醒大家出门别乱搞，手痒的时候可以打开nosec发表文章。

测试过程：https://www.aqbeta.com/data/201808/153569948914216.html

来源：https://sg.news.yahoo.com