41

因公开破解酒店 WiFi,腾讯 23 岁程序员遭到逮捕!

 5 years ago
source link: https://blog.csdn.net/csdnnews/article/details/82847623?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

RZvYbqn.gif

腾讯 23 岁安全工程师郑某随手破解了个酒店 WiFi,竟遭遇牢狱之灾。

E36vYr3.png!web

新加坡最近举办的“夺旗”(Capture the Flag)比赛汇聚了各行各业的安全专家们,他们在其中展示了强大的黑客攻击和反黑客能力。但是,前去参会的腾讯 23 岁安全工程师郑某,却转而打起了所入驻酒店的 WiFi 主意。

郑某在这次新加坡网络安全会议期间,很好奇他下榻的飞龙酒店(Fragrance Hotel) WiFi 服务器有没有安全漏洞。意外的是,他成功地黑入了这台服务器,还撰写了一篇博客公开介绍漏洞破解的详细始末,并且堂而皇之地贴出了酒店管理员使用的服务器密码。

然后悲剧就发生了——这篇博客“幸运”地引起了新加坡网络安全局(CSA)的注意,结果炫技不成反吃了牢饭。

nAreuii.png!web

腾讯 23 岁安全工程师违法破解酒店 WiFi

郑某是在上个月的 27 日入住了 武吉士的飞龙酒店。 在郑某公开的博文中,他写到,“秉持着到一个酒店就想破解一番的精神,我对这套(酒店)系统进行了一个深入的测试,最后通过串联 4 个漏洞拿到了系统的 root 权限。”

vYRjaqN.jpg!web

通过谷歌,他首先成功地搜索到了这家酒店 WiFi 系统的默认用户 ID 和密码。在连接到酒店的 WiFi 网关后,他又利用接下来的三天时间执行脚本、解密文件和破解密码,然后成功闯入了该酒店 WiFi 服务器的数据库。此外,他还试图访问飞龙酒店小印度分店的 WiFi 服务器,但没有成功。

FBFnmeq.jpg!web

顺利得手之后,郑某就在其博客上阐述了攻击步骤,还在其中公布了飞龙酒店 WiFi 服务器的管理员密码,以及在 WhatsApp 群聊中分享了博文链接。

CSA  无意中看到了他的这篇博客,便立即提醒飞龙酒店的管理层。虽然郑某在接到要求后随即删除了那篇博文,但事件造成的影响已经扩大了。 9 月 1 日, 飞龙酒店 IT 副总裁于向警方提交了这起黑客行为报告。对此, 郑某律师阿南•纳拉钱德兰(Anand Nalachandran)声称,虽然郑某的行为导致( 新加坡酒店系统的 )安全风险加大,但是并没有对这家酒店造成“实际的损害”,而且郑某已经被拘留了好几天,他要求罚款不超过 5000 美元。

但助理检察官蒂亚盖什•苏库马兰(Thiagesh Sukumaran)表示:“作为一名安全专业人士,郑某(应该)知道,披露这些访问代码后酒店 WiFi 服务器中的漏洞很可能会被用于非法目的,有可能给这家连锁酒店造成损失。”此外, 检方还提到,由于其他酒店使用同类的服务器,郑某的行为可能导致其他酒店成为网络攻击的受害者,黑客能轻易获取酒店客人的信息。

对于 CSA 的指控 ,郑某供认不讳: 有意披露密码,未经授权擅自访问属于飞龙酒店的数据。 最后虽得以免于牢狱之灾,但仍 被处以 5000 美元的罚款。

MBNJfaF.png!web

腾讯回应对方系实习生,会加强新人培训工作

事实上,自 2014 年以来,郑某一直在撰写关于服务器漏洞的博客,他本人也是服务器漏洞安全的狂热爱好者。作为今年的应届毕业生,他是以 个人身份受邀去新加坡参加 HITB GSEC CTF 2018 的。 据腾讯公关部回应表示:

当事人郑某为今年应届毕业生,在入职前曾参加 CTF 安全攻防赛事。

其个人于 8 月 29 日受邀请去新加坡参加 HITB GSEC CTF 2018,参与现场出题,并到新加坡国立大学进行 workshop 分享。

他在入住酒店期间发现了酒店的 WiFi 系统存在默认登录口令,在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害,但其在博客公布默认口令的行为可能会被其他人恶意利用,从而给酒店造成损失,法院结案对其进行罚款警示。

郑某对外测试行为违反公司安全测试规范,考虑其尚在试用期间,我们决定将他作为案例警示。我们会一如既往强化对新人的安全教育和上岗培训,严格遵守各国法律法规。

至此,这位 23 岁安全工程师闹得事儿也算是画上了句号。但是,关于安全工程师这一岗位的责任操守却在网上引发了热烈讨论。在其位而谋其职,身为安全工程师,除去必备的技术基础外,应当具备的职业操守同样不能少。

@莫伊郭:作为安全工程师,检测系统漏洞也许是职业素养,但公布出来真是违背人品了。
@Daley枫:黑客行为本身就是违法的行为,竟然还敢公之于众!这样无法无天的行为就该严判!
@拉风吉普:查出酒店网络安全漏洞是件好事,如能把查出的结果及时提供给酒店管理部门而不是在网上公布,就好了。说不定还能得到酒店的奖励,而不是现在的罚款。一念之差,结果大不一样。
@我是老狼:破解是黑客的天性,但是否真的配称为黑客在于发现漏洞后的做法。黑客精神是要把漏洞提交给管理方,用于减小风险。
@@风夕云熙:棒打出头鸟不知道么?猥琐发育,别浪!
@玉树林风697:在外国应该遵守外国法律,不能因好奇而去触碰或违反法律。
......

那么你如何看待郑某的这一行为?欢迎在评论区分享你的看法。

征稿啦

CSDN 公众号秉持着「与千万技术人共成长」理念,不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让所有的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。

如果你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿, 联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱([email protected])。

————— 推荐阅读 —————

R3IRf2Y.png!web

juyyqmu.png!webj6RzQzm.png!web

Rjqu2aN.gif

RzuAZv3.gif


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK