23岁的腾讯员工郑杜涛检在新加坡飞龙酒店入住期间,因为好奇,检查了一下酒店WiFi漏洞,并成功破解后公布,结果被新加坡安全局逮捕。
前段时间,在新加坡举行了一个Capture the Flag 比赛,这是黑客、反黑客安全专家进行竞技的网络安全比赛。23岁的郑杜涛作为腾讯的安全工程师参加了这个比赛,并入住了位于武吉士的飞龙酒店。
比赛是8月30日开始,8月27日郑杜涛便已入住酒店了。入住一天后,可能是职业病犯了,他对酒店WiFi服务器可能存在的漏洞感到好奇,并且成功通过谷歌搜索到了酒店WiFi系统的默认用户名和密码。
暂时不管他是怎么搜到默认用户名和密码的,接下来的“神操作”才能体现了他身为一个网络专家的“专业”。在连接到酒店的WiFi后,他便开始解密文件和破解密码,然后成功攻破并访问了酒店WiFi服务器的数据库。
他发现酒店服务器模型有一个漏洞,并且成功利用该漏洞获取了对服务器的访问权限。但在接下来试图访问飞龙酒店小印度分店的WiFi服务器时,以失败告终。
干了这么件“大事”,不能就一个人知道啊。于是,郑杜涛将自己的黑客行为记录在了个人博客上,并在帖子中发布了飞龙酒店的WiFi服务器的管理员密码。之后就把博客帖子的URL链接分享在了其WhatsApp群聊中。
然而就是这篇名为“探索新加坡酒店”的帖子惹了祸。新加坡网络安全局(CSA)发现了这篇帖子,将此事告诉给了飞龙酒店的管理层,并且逮捕了郑杜涛!
9月1日,飞龙酒店负责IT的副总裁向警方提交了一份黑客行为报告,郑杜涛也被控上法庭。
随后,新加坡警方对郑杜涛进行了调查,发现他自2014年以来就一直在撰写关于服务器漏洞的博客。但这是他第一次发布自己发现的漏洞,博客内容极其详细地记录了破解过程、所写代码、如何执行命令等。
检方表示,由于其他酒店采用相同的服务器模式,郑的行为可能导致其他酒店成为网络攻击的受害者,黑客可以获取酒店客人的信息,也可能让外国人擅自入侵新加坡的网络体系。
郑杜涛的行为触犯了“滥用电脑和网络安全法令”,涉嫌入侵新加坡电脑系统,并且可能泄露酒店信息,属于黑客行为。对于未经授权披露密码的罪行,郑杜涛可能被判入狱三年,最高罚款 10,000新币。
不过检方鉴于郑似乎只是出于好奇而犯了罪,并且没有造成“有形伤害”,所以没有以最高标准进行惩罚。
9月24日,郑杜涛因其黑客行为被新加坡国家法院罚款5,000新币,他也承认一项针对他的指控,即故意披露密码导致飞龙酒店数据受到未授权即可访问的威胁。
