腾讯工程师公布新加坡酒店Wi-Fi漏洞被逮捕，网友：作死

日前，一位腾讯工程师在新加坡参加网络安全会议期间，入侵了其所住酒店的Wi-Fi。

现年23岁的郑杜涛（Zheng Dutao，音译）为腾讯的安全工程师。在入住新加坡飞龙酒店时，忽对酒店的Wi-Fi服务器是否存在漏洞心生好奇。

郑杜涛成功黑入酒店Wi-Fi服务器，并在一篇名为“Exploit Singapore Hotels”（利用新加坡酒店管理系统漏洞）的博文中公布了酒店管理员的服务器密码。该文引起新加坡网络安全局（CSA）的注意，CSA随后对其进行了抓捕。

周一（9月24日），郑杜涛因其黑客行为被新加坡国家法院罚款5000新加坡币。他承认一项针对其的指控，即故意泄露密码，导致飞龙酒店的数据暴露于未授权访问的威胁之下。另一项类似的指控也纳入对郑杜涛的量刑考虑范围。

上个月，郑杜涛抵达新加坡参加“Capture the Flag”竞赛，该比赛与正在洲际酒店举行的网络安全会议共同举行。涉及黑客攻击和反黑客攻击的各路安全专家均有参与该比赛。

8月27日晚，郑杜涛入住武吉士站附近的飞龙酒店。一天后，他对酒店Wi-Fi服务器是否存在可能的漏洞感到好奇。（职业病犯了吧这是……）

他成功地通过谷歌搜索到酒店Wi-Fi系统的默认用户名和密码。接入酒店Wi-Fi网关后，郑杜涛在接下来的三天内开始执行脚本，破解文件和密码，最后成功登入酒店Wi-Fi服务器的数据库。

酒店的服务器模型确实存在一个漏洞，郑杜涛利用该漏洞获取了服务器访问权限。他还曾尝试访问飞龙酒店旗下小印度分店（“Little Indian”）的Wi-Fi服务器但未成功。

在他的个人博客上，郑杜涛记录了自己的黑客行为。他在文章里公开飞龙酒店Wi-Fi服务器的管理员密码，并在WhatsApp群聊中分享了他的博客文章的访问链接。

“披露这些访问代码，郑杜涛清楚地知道，飞龙酒店的Wi-Fi服务器上的漏洞极有可能为其他人用于非法目的，从而可能对连锁酒店造成损失，”副检察长Thiagesh Sukumaran说。

检方表示，2014年以来，郑杜涛一直在撰写有关服务器漏洞的博客。以上事件是他第一个发布自己发现的漏洞。

CSA发现他的博客文章后立即提醒了飞龙酒店管理层。郑杜涛在对方要求后删除了文章。飞龙酒店IT副总裁于9月1日向警方提供了这次黑客攻击的报告。

检方要求对郑杜涛处以5000新加坡币的罚款，称郑杜涛似乎出于好奇而犯罪，且并未造成任何“有形损失”。但是副检察官指出郑杜涛不止在一个论坛上分享该篇博客文章。

“郑杜涛先生作为一名网络安全专业人士理应清楚在博客上公布管理员密码后，该密码为非法目的所利用的可能性极高。”副检察官说道。

但值得注意的是新加坡这些酒店使用的系统都还是非常老旧的，这些系统存在着无数漏洞也才被郑杜涛发现。除路由网关固件存在后门漏洞长期没有进行升级外，该酒店还在使用12年前的数据库服务器(MySQL 4.1版)。这种极其薄弱的安全意识导致即便不被郑杜涛发现也会遭到其他黑客的悄悄利用，到时泄露的信息可能更多。

根据检方的说法，由于其他酒店也采用相同的服务器模式，郑杜涛的行为也可能导致其他酒店成为网络攻击的受害者，使得黑客可以访问获取酒店客人的信息。

副检察官补充说，判决有助于震慑国外人士擅自访问新加坡系统。

郑杜涛的律师Anand Nalachandran指出，虽然郑杜涛的行为可导致风险增加，但其并未对酒店造成实际损害。考虑到郑杜涛已经在监狱中待了几天时间，律师请求罚款最高不超过5000新加坡币。

对于擅自披露密码的犯罪行为，郑杜涛可能面临三年监禁与最高1万新加坡币的罚款。

网友热议

@ 莫伊郭：作为安全工程师，检测系统漏洞也许是职业素养，但公布出来 真是 人品很差了。

@ 戊戌冬：很好奇他公布出来干什么，秀优越感吗？

@ 山高水更长2011：这哪里是什么好奇、分明是违法犯罪，被逮捕并处以相应的处罚理所当然。

@ Fast0125：程序员寻找漏洞真的很疯狂..能成功破解别人的程序找到他的漏洞，无形中也是和这个开发者的一次较量。但是公布出来白瞎了这身本事

@ 王子曦-Charles：别说的那么好听:好奇检查别家Wi-Fi漏洞。隔壁老王好奇检查你媳妇内裤颜色。你觉得合理吗？

@ 小孩子没什么大烦恼：人家检测漏洞是为了自己Wi-Fi使用安全，合情合理。主要是泄漏信息是错。

@飞翔的人猿：你们根本不明白程序员对漏洞有多热爱。入侵是一门艺术，外行人少bb吧。

@ ARS-小孩：你公布Wi-Fi密码也就算了，还公布管理员服务器密码，这就是黑客了吧？以后肯定被安全软件行业除名了，行规

本文综合自新浪科技、蓝点网、微博报道

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”