腾讯安全工程师好奇检查酒店WiFi漏洞被新加坡安全局逮捕

eric_wang

腾讯安全工程师好奇检查酒店WiFi漏洞被新加坡安全局逮捕 [复制链接]

上个月，腾讯安全工程师郑杜涛（音译）抵达新加坡参加“Capture the Flag”竞赛，该比赛与正在洲际酒店举行的网络安全会议共同举行。涉及黑客攻击和反黑客攻击的各路安全专家均有参与该比赛。

8月27日晚，郑杜涛入住武吉士站附近的飞龙酒店。一天后，他对酒店WiFi服务器是否存在可能的漏洞感到好奇。他成功地通过谷歌搜索到酒店WiFi系统的默认用户名和密码。

接入酒店WiFi网关后，郑杜涛在接下来的三天内开始执行脚本，破解文件和密码，最后成功登入酒店WiFi服务器的数据库。

酒店的服务器模型确实存在一个漏洞，郑杜涛利用该漏洞获取了服务器访问权限。他还曾尝试访问飞龙酒店旗下小印度分店（“Little Indian”）的WiFi服务器但未成功。

在他的个人博客上，郑杜涛记录了自己的黑客行为。他在文章里公开飞龙酒店WiFi服务器的管理员密码，并在WhatsApp群聊中分享了他的博客文章的访问链接。

“披露这些访问代码，郑杜涛清楚地知道，飞龙酒店的WiFi服务器上的漏洞极有可能为其他人用于非法目的，从而可能对连锁酒店造成损失，”副检察长Thiagesh Sukumaran说。

检方表示，2014年以来，郑杜涛一直在撰写有关服务器漏洞的博客。以上事件是他第一个发布自己发现的漏洞。

CSA（新加坡网络安全局）发现他的博客文章后立即提醒了飞龙酒店管理层。郑杜涛在对方要求后删除了文章。飞龙酒店IT副总裁于9月1日向警方提供了这次黑客攻击的报告。

检方要求对郑杜涛处以5000新加坡币（约25111元人民币）的罚款，称郑杜涛似乎出于好奇而犯罪，且并未造成任何“有形损失”。但是副检察官指出郑杜涛不止在一个论坛上分享该篇博客文章。

“郑杜涛先生作为一名网络安全专业人士理应清楚在博客上公布管理员密码后，该密码为非法目的所利用的可能性极高。”副检察官说道。

根据检方的说法，由于其他酒店也采用相同的服务器模式，郑杜涛的行为也可能导致其他酒店成为网络攻击的受害者，使得黑客可以访问获取酒店客人的信息。

副检察官补充说，判决有助于震慑国外人士擅自访问新加坡系统。

郑杜涛的律师Anand Nalachandran指出，虽然郑杜涛的行为可导致风险增加，但其并未对酒店造成实际损害。考虑到郑杜涛已经在监狱中待了几天时间，律师请求罚款最高不超过5000新加坡币。

对于擅自披露密码的犯罪行为，郑杜涛可能面临三年监禁与最高1万新加坡币的罚款。

看完这个新闻，想起一句话“友情测试需谨慎，没有授权就是黑”。

个人认为，好奇没问题，自己知道就行了，公布wifi服务器和管理员密码就不厚道了，以后恐怕会被这个行业除名。

对此，你怎么看？

皈依

不是这行的 不懂啊
觉得公布方法可以 账号密码就不要了吧

AOE-hill

阿里快来把这人收了~

数码小叶

AOE-hill 发表于 2018-9-25 16:41
阿里快来把这人收了~

这样的阿里敢要么。。。。确实有点不厚道啊

yanhaijian

有点爱出风头。

pkuzhx

标题党啊。
这已经不是检查了，是入侵且公开漏洞。

通宵敲代码

好一个“腾讯安全工程师”，
这摆明了就是一个黑客吗。
你处于工作需要或者是好奇心使然攻击人家服务器，
破解了，发现有漏洞了，你悄悄告诉人家这就行了，
很正义很正囊量的一件事吗。
你这一公开，完了，典型的黑客行为吗，不逮你逮谁啊。

wrnypl1

nRF24L01无线传输模块，可以实现一对多，多对一，多对多，根据nRF24L01芯片特性，可以做到多个同时运行时数据不会相互影响，这就涉及到配对问题，本人做这个的时候想到的是实时变换接受发地址，这种方法确实可用，特别是在一对多时特别好用，但是在多对一是就不是很好，会有数据丢失，所以，多对一建议用多路接收数据，再配合上本人方法相信可以解决，我没做那一部分，如果有人做了，希望可以同样分享出来学习，毕竟OPEN SOURCE大法好。

dfwisdom

他成功地通过谷歌搜索到酒店WiFi系统的默认用户名和密码。

是不是谷歌也有责任？
是不是第一个发布这个账号和密码的人也有责任？
是不是管理人员不改默认密码也有责任？