X

腾讯员工公布新加坡酒店WiFi服务器密码被捕:免刑期处罚

针对腾讯工程师在新加坡酒店进入WiFi服务器事件,新加坡检方的处理结果出炉。

9月25日,澎湃新闻记者了解到,目前新加坡检方对该男子做出5000新加坡元(约合25120元人民币)的处罚,对其进行警示,免于刑期处罚,并结案。

近日有报道称,8月27日晚,腾讯工程师郑某在新加坡参加网络安全会议期间,入住新加坡飞龙酒店时,忽对酒店的WiFi服务器是否存在漏洞心生好奇。郑某成功黑入酒店WiFi服务器,并在一篇名为“Exploit Singapore Hotels(利用新加坡酒店漏洞)”的博文中,公布了酒店管理员的服务器密码。该文引起新加坡网络安全局的注意,该局随后对其进行了抓捕。

经了解,当事人郑某为今年应届毕业生, 已入职腾讯,其个人于8月29日受邀请去新加坡参加安全大会HITB GSEC CTF 2018。

雅虎新闻的报道称,郑某通过谷歌搜索到酒店WiFi系统的默认用户名和密码。接入酒店WiFi网关后,郑某在接下来的三天内开始执行脚本,破解文件和密码,最后成功登入酒店WiFi服务器的数据库。酒店的服务器模型确实存在一个漏洞,郑某利用该漏洞获取了服务器访问权限。他还曾尝试访问飞龙酒店旗下小印度分店(“Little Indian”)的WiFi服务器但未成功。

在郑某的个人博客上,记录了自己的黑客行为。他在文章里公开飞龙酒店WiFi服务器的管理员密码,并在WhatsApp群聊中分享了他的博客文章的访问链接。

腾讯相关人士告诉澎湃新闻记者,这名工程师在入住酒店期间,发现了酒店的Wi-Fi系统存在默认登录口令,在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害,但因为其博客公布默认口令的行为可能会被其他人恶意利用,导致酒店可能会遭受损失,因此接受调查。

2014年以来,郑某一直在撰写有关服务器漏洞的博客。以上事件是他第一个发布自己发现的漏洞。

前述报道援引新加坡检方官员Thiagesh Sukumaran的话说,“披露这些访问代码,郑某清楚地知道,飞龙酒店的WiFi服务器上的漏洞极有可能为其他人用于非法目的,从而可能对连锁酒店造成损失,”

新加坡网络安全局发现他的博客文章后立即提醒了该酒店管理层。郑某在对方要求后删除了文章。

根据新加坡检方的说法,由于其他酒店也采用相同的服务器模式,郑某的行为也可能导致其他酒店成为网络攻击的受害者,使得黑客可以访问获取酒店客人的信息。检方补充说,判决有助于震慑国外人士擅自访问新加坡系统。

腾讯相关人士告诉澎湃新闻,在了解始末之后,新加坡检方最终认定,郑某的行为是出于好奇,而且没有造成有形的伤害,因此做出5000新币的判罚对其进行警示,免于刑期并结案。

郑某事件也反映出,维护网络安全的“白帽黑客”群体游走在法律的边缘地带。

“白帽黑客”与“黑帽黑客”相对,一般指的是无攻击恶意的黑客。他们能识别出计算机或网络系统中的漏洞,将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利。但他们未经厂商允许,擅自进入其系统的行为本身,也存有一定的法律争议。