真是好奇心害死猫。
腾讯的安全工程师郑某在新加坡参加Capture the Flag(夺旗赛)期间,好奇“检查”了一下酒店 WiFi 漏洞,并顺带进入了酒店的数据库。郑某随机发布博客记录了整个入侵过程。相关内容迅速引起新加坡警方注意,并且逮捕了这位工程师。
这是一个有点尴尬的故事。
郑某今年23岁,是位刚毕业的大学生,上个月到新加坡参加夺旗赛。这本来就是个黑客、反黑客安全专家进行竞技的网络安全比赛,每年8月都会在新加坡洲际大酒店举行。
8月27日入住武吉士的飞龙酒店后,出于“好奇(自称)”,他成功通过谷歌搜索了酒店WiFi系统的默认用户名和密码。
过程中他发现酒店的服务器模型存在一个漏洞,郑小哥利用这个漏洞获取了服务器访问权限。在接下来的三天内开始执行脚本,破解文件和密码,最后成功登入酒店WiFi服务器的数据库。
他还曾尝试访问飞龙酒店旗下小印度分店(“Little Indian”)的WiFi服务器但未成功。
接下来他在博客中发表了题目为《Exploit Singapore Hotels》的文章,记录这次入侵行为。并在博客文章中公布飞龙酒店WiFi服务器的管理员密码,还在一些群聊中分享了这篇博客文章。
也许,顺利入侵这件事让郑小哥颇有成就感,希望分享给更多的人。但是,除了引起了技术人员的讨论,这篇文章也成功引起了新加坡网络安全局(CSA)的注意。
CSA随后对其进行了抓捕。
虽然,郑小哥在警方和酒店的要求下,删除了那篇文章,但是,还是被检方要求5000新加坡币的罚款。
考虑到他是出于好奇而犯罪,且并未造成任何“有形损失”,并未加大处罚,毕竟对于擅自披露密码的犯罪行为,新加坡警方最高可以处罚三年监禁与1万新加坡币的罚款。
酒店9月1日报案后,警方就展开了对他的调查,发现从2014年以来他就一直在撰写服务器漏洞的博客。这是他第一次发布自己发现的漏洞。
由于其他酒店采用相同的服务器模式,可能导致其他酒店成为网络攻击的受害者,也可能让外国黑客入侵新加坡的网络。
相信,对郑某的惩罚能够震慑到其他的“好奇者”。
其实,新加坡一直也不太平,新加坡政府曾在7月20日表示,6月27日至7月4日期间,有150万份健康档案遭到破坏,并存在针对新加坡总理李显龙的黑客行为。
另外,据Frost&Sullivan在微软委托进行的一项研究中估计,去年新加坡公司的网络攻击造成了177亿美元的经济损失。这一数字将占该市国内生产总值的6%。
后记:尽管新加坡警方和相关报道中已经有公开资料公布了郑某的姓名,但这件事尚未对新加坡酒店造成实际伤害。文摘菌在这篇文章中决定对其进行匿名,希望能尽量保护这位可以用技术做更有意义的事情的年轻人,也提醒技术人员,在代码和道德中做好平衡。
