真是好奇心害死貓。
騰訊的安全工程師鄭某在新加坡參加Capture the Flag(奪旗賽)期間,好奇“檢查”了一下酒店 WiFi 漏洞,並順帶進入了酒店的資料庫。鄭某隨機發布部落格記錄了整個入侵過程。相關內容迅速引起新加坡警方注意,並且逮捕了這位工程師。
這是一個有點尷尬的故事。
鄭某今年23歲,是位剛畢業的大學生,上個月到新加坡參加奪旗賽。這本來就是個駭客、反駭客安全專家進行競技的網路安全比賽,每年8月都會在新加坡洲際大酒店舉行。
8月27日入住武吉士的飛龍酒店後,出於“好奇(自稱)”,他成功透過谷歌搜尋了酒店WiFi系統的預設使用者名稱和密碼。
過程中他發現酒店的伺服器模型存在一個漏洞,鄭小哥利用這個漏洞獲取了伺服器訪問許可權。在接下來的三天內開始執行指令碼,破解檔案和密碼,最後成功登入酒店WiFi伺服器的資料庫。
他還曾嘗試訪問飛龍酒店旗下小印度分店(“Little Indian”)的WiFi伺服器但未成功。
接下來他在部落格中發表了題目為《Exploit Singapore Hotels》的文章,記錄這次入侵行為。並在部落格文章中公佈飛龍酒店WiFi伺服器的管理員密碼,還在一些群聊中分享了這篇部落格文章。
也許,順利入侵這件事讓鄭小哥頗有成就感,希望分享給更多的人。但是,除了引起了技術人員的討論,這篇文章也成功引起了新加坡網路安全域性(CSA)的注意。
CSA隨後對其進行了抓捕。
雖然,鄭小哥在警方和酒店的要求下,刪除了那篇文章,但是,還是被檢方要求5000新加坡幣的罰款。
考慮到他是出於好奇而犯罪,且並未造成任何“有形損失”,並未加大處罰,畢竟對於擅自披露密碼的犯罪行為,新加坡警方最高可以處罰三年監禁與1萬新加坡幣的罰款。
酒店9月1日報案後,警方就展開了對他的調查,發現從2014年以來他就一直在撰寫伺服器漏洞的部落格。這是他第一次釋出自己發現的漏洞。
由於其他酒店採用相同的伺服器模式,可能導致其他酒店成為網路攻擊的受害者,也可能讓外國駭客入侵新加坡的網路。
相信,對鄭某的懲罰能夠震懾到其他的“好奇者”。
其實,新加坡一直也不太平,新加坡政府曾在7月20日表示,6月27日至7月4日期間,有150萬份健康檔案遭到破壞,並存在針對新加坡總理李顯龍的駭客行為。
另外,據Frost&Sullivan在微軟委託進行的一項研究中估計,去年新加坡公司的網路攻擊造成了177億美元的經濟損失。這一數字將佔該市國內生產總值的6%。
後記:儘管新加坡警方和相關報導中已經有公開資料公佈了鄭某的姓名,但這件事尚未對新加坡酒店造成實際傷害。文摘菌在這篇文章中決定對其進行匿名,希望能儘量保護這位可以用技術做更有意義的事情的年輕人,也提醒技術人員,在程式碼和道德中做好平衡。