針對騰訊工程師在新加坡酒店進入WiFi服務器事件,新加坡檢方的處理結果出爐。
9月25日,澎湃新聞記者了解到,目前新加坡檢方對該男子做出5000新加坡元(約合25120元人民幣)的處罰,對其進行警示,免于刑期處罰,並結案。
近日有報道稱,8月27日晚,騰訊工程師鄭某在新加坡參加網絡安全會議期間,入住新加坡飛龍酒店時,忽對酒店的WiFi服務器是否存在漏洞心生好奇。鄭某成功黑入酒店WiFi服務器,並在一篇名爲“Exploit Singapore Hotels(利用新加坡酒店漏洞)”的博文中,公布了酒店管理員的服務器密碼。該文引起新加坡網絡安全局的注意,該局隨後對其進行了抓捕。
經了解,當事人鄭某爲今年應屆畢業生, 已入職騰訊,其個人于8月29日受邀請去新加坡參加安全大會HITB GSEC CTF 2018。
雅虎新聞的報道稱,鄭某通過谷歌搜索到酒店WiFi系統的默認用戶名和密碼。接入酒店WiFi網關後,鄭某在接下來的三天內開始執行腳本,破解文件和密碼,最後成功登入酒店WiFi服務器的數據庫。酒店的服務器模型確實存在一個漏洞,鄭某利用該漏洞獲取了服務器訪問權限。他還曾嘗試訪問飛龍酒店旗下小印度分店(“Little Indian”)的WiFi服務器但未成功。
在鄭某的個人博客上,記錄了自己的黑客行爲。他在文章裏公開飛龍酒店WiFi服務器的管理員密碼,並在WhatsApp群聊中分享了他的博客文章的訪問鏈接。
騰訊相關人士告訴澎湃新聞記者,這名工程師在入住酒店期間,發現了酒店的Wi-Fi系統存在默認登錄口令,在個人博客撰寫一篇分析的文章。此事沒有造成金錢或有形損害,但因爲其博客公布默認口令的行爲可能會被其他人惡意利用,導致酒店可能會遭受損失,因此接受調查。
2014年以來,鄭某一直在撰寫有關服務器漏洞的博客。以上事件是他第一個發布自己發現的漏洞。
前述報道援引新加坡檢方官員Thiagesh Sukumaran的話說,“披露這些訪問代碼,鄭某清楚地知道,飛龍酒店的WiFi服務器上的漏洞極有可能爲其他人用于非法目的,從而可能對連鎖酒店造成損失,”
新加坡網絡安全局發現他的博客文章後立即提醒了該酒店管理層。鄭某在對方要求後刪除了文章。
根據新加坡檢方的說法,由于其他酒店也采用相同的服務器模式,鄭某的行爲也可能導致其他酒店成爲網絡攻擊的受害者,使得黑客可以訪問獲取酒店客人的信息。檢方補充說,判決有助于震懾國外人士擅自訪問新加坡系統。
騰訊相關人士告訴澎湃新聞,在了解始末之後,新加坡檢方最終認定,鄭某的行爲是出于好奇,而且沒有造成有形的傷害,因此做出5000新幣的判罰對其進行警示,免于刑期並結案。
鄭某事件也反映出,維護網絡安全的“白帽黑客”群體遊走在法律的邊緣地帶。
“白帽黑客”與“黑帽黑客”相對,一般指的是無攻擊惡意的黑客。他們能識別出計算機或網絡系統中的漏洞,將其公布給廠商修複,以免“黑帽黑客”從中盜取信息、牟利。但他們未經廠商允許,擅自進入其系統的行爲本身,也存有一定的法律爭議。