虎嗅注:程序员对网站漏洞感兴趣或许是“职业病”,但是腾讯员工郑杜涛(音译)却因为扒漏洞被新加坡网络安全局逮捕。对于擅自披露密码的犯罪行为,郑杜涛可能面临三年监禁与最高1万新加坡币的罚款。
本文转自“新浪科技”,作者:木尔,题图来自视觉中国。
在新加坡参加网络安全会议期间,一位腾讯工程师入侵了其所住酒店的Wi-Fi。
现年23岁的郑杜涛(音译)为腾讯的安全工程师。在入住新加坡飞龙酒店时,忽对酒店的Wi-Fi服务器是否存在漏洞心生好奇。
郑杜涛随后成功黑入酒店Wi-Fi服务器,并在一篇名为“Exploit Singapore Hotels”(开拓新加坡酒店)的博客文中公布了酒店管理员的服务器密码。该博客文章随后引起新加坡网络安全局(CSA)的注意,CSA随后对其进行了抓捕。
周一(9月24日),郑杜涛因其黑客行为被新加坡国家法院罚款5000新加坡币。他承认一项针对其的指控,即故意泄露密码导致飞龙酒店的数据暴露于未授权访问的威胁之下。另一项类似的指控也纳入对郑杜涛的量刑考虑范围。
上个月,郑杜涛抵达新加坡参加“Capture the Flag”竞赛,该比赛与正在洲际酒店举行的网络安全会议共同举行。涉及黑客攻击和反黑客攻击的各路安全专家均有参与该比赛。
8月27日晚,郑杜涛入住武吉士站附近的飞龙酒店。一天后,他对酒店Wi-Fi服务器是否存在可能的漏洞感到好奇。他成功地通过谷歌搜索到酒店Wi-Fi系统的默认用户名和密码。
接入酒店Wi-Fi网关后,郑杜涛在接下来的三天内开始执行脚本,破解文件和密码,最后成功登入酒店Wi-Fi服务器的数据库。
酒店的服务器模型确实存在一个漏洞,郑杜涛利用该漏洞获取了服务器访问权限。他还曾尝试访问飞龙酒店旗下小印度分店(“Little Indian”)的Wi-Fi服务器但未成功。
在他的个人博客上,郑杜涛记录了自己的黑客行为。他在文章里公开飞龙酒店Wi-Fi服务器的管理员密码,并在WhatsApp群聊中分享了他的博客文章的访问链接。
“披露这些访问代码,郑杜涛清楚地知道,飞龙酒店的Wi-Fi服务器上的漏洞极有可能为其他人用于非法目的,从而可能对连锁酒店造成损失。”副检察长Thiagesh Sukumaran说。
检方表示,2014年以来,郑杜涛一直在撰写有关服务器漏洞的博客。以上事件是他第一个发布自己发现的漏洞。
CSA发现他的博客文章后立即提醒了飞龙酒店管理层。郑杜涛在对方要求后删除了文章。飞龙酒店IT副总裁于9月1日向警方提供了这次黑客攻击的报告。
检方要求对郑杜涛处以5000新加坡币的罚款,称郑杜涛似乎出于好奇而犯罪,且并未造成任何“有形损失”。但是副检察官指出郑杜涛不止在一个论坛上分享该篇博客文章。
“郑杜涛先生作为一名网络安全专业人士理应清楚在博客上公布管理员密码后,该密码为非法目的所利用的可能性极高。”副检察官说道。
根据检方的说法,由于其他酒店也采用相同的服务器模式,郑杜涛的行为也可能导致其他酒店成为网络攻击的受害者,使得黑客可以访问获取酒店客人的信息。
副检察官补充说,判决有助于震慑国外人士擅自访问新加坡系统。
郑杜涛的律师Anand Nalachandran指出,虽然郑杜涛的行为可导致风险增加,但其并未对酒店造成实际损害。考虑到郑杜涛已经在监狱中待了几天时间,律师请求罚款最高不超过5000新加坡币。
对于擅自披露密码的犯罪行为,郑杜涛可能面临三年监禁与最高1万新加坡币的罚款。