所以说,千万别用于非法用途,希望这位老铁长点记性!
腾讯 23 岁安全工程师违法破解酒店 WiFi
郑某是在上个月的 27 日入住了武吉士的飞龙酒店。在郑某公开的博文中,他写到,“秉持着到一个酒店就想破解一番的精神,我对这套(酒店)系统进行了一个深入的测试,最后通过串联 4 个漏洞拿到了系统的 root 权限。”
进群:548377875 即可获取数十套PDF哦!大家在玩的时候不能用于非法用途啊!
通过谷歌,他首先成功地搜索到了这家酒店 WiFi 系统的默认用户 ID 和密码。在连接到酒店的 WiFi 网关后,他又利用接下来的三天时间执行脚本、解密文件和破解密码,然后成功闯入了该酒店 WiFi 服务器的数据库。此外,他还试图访问飞龙酒店小印度分店的 WiFi 服务器,但没有成功。
顺利得手之后,郑某就在其博客上阐述了攻击步骤,还在其中公布了飞龙酒店 WiFi 服务器的管理员密码,以及在 WhatsApp 群聊中分享了博文链接。
CSA 无意中看到了他的这篇博客,便立即提醒飞龙酒店的管理层。虽然郑某在接到要求后随即删除了那篇博文,但事件造成的影响已经扩大了。9 月 1 日,飞龙酒店 IT 副总裁于向警方提交了这起黑客行为报告。对此,郑某律师阿南•纳拉钱德兰(Anand Nalachandran)声称,虽然郑某的行为导致(新加坡酒店系统的)安全风险加大,但是并没有对这家酒店造成“实际的损害”,而且郑某已经被拘留了好几天,他要求罚款不超过 5000 美元。
但助理检察官蒂亚盖什•苏库马兰(Thiagesh Sukumaran)表示:“作为一名安全专业人士,郑某(应该)知道,披露这些访问代码后酒店 WiFi 服务器中的漏洞很可能会被用于非法目的,有可能给这家连锁酒店造成损失。”此外,检方还提到,由于其他酒店使用同类的服务器,郑某的行为可能导致其他酒店成为网络攻击的受害者,黑客能轻易获取酒店客人的信息。
对于 CSA 的指控,郑某供认不讳:
有意披露密码,未经授权擅自访问属于飞龙酒店的数据。
最后虽得以免于牢狱之灾,但仍被处以 5000 美元的罚款。
腾讯回应对方系实习生,会加强新人培训工作
事实上,自 2014 年以来,郑某一直在撰写关于服务器漏洞的博客,他本人也是服务器漏洞安全的狂热爱好者。作为今年的应届毕业生,他是以个人身份受邀去新加坡参加 HITB GSEC CTF 2018 的。据腾讯公关部回应表示:
当事人郑某为今年应届毕业生,在入职前曾参加 CTF 安全攻防赛事。其个人于 8 月 29 日受邀请去新加坡参加 HITB GSEC CTF 2018,参与现场出题,并到新加坡国立大学进行 workshop 分享。他在入住酒店期间发现了酒店的 WiFi 系统存在默认登录口令,在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害,但其在博客公布默认口令的行为可能会被其他人恶意利用,从而给酒店造成损失,法院结案对其进行罚款警示。郑某对外测试行为违反公司安全测试规范,考虑其尚在试用期间,我们决定将他作为案例警示。我们会一如既往强化对新人的安全教育和上岗培训,严格遵守各国法律法规。
至此,这位 23 岁安全工程师闹得事儿也算是画上了句号。但是,关于安全工程师这一岗位的责任操守却在网上引发了热烈讨论。在其位而谋其职,身为安全工程师,除去必备的技术基础外,应当具备的职业操守同样不能少。
