冲动的惩罚:腾讯安全工程师因擅自发布漏洞信息在新加坡被逮捕
腾讯公司工程师郑杜涛此前参与在新加坡举办的安全会议时,成功发现酒店管理系统的漏洞并公布相关密码。
郑杜涛发现其所住的酒店无线网络使用的是某个品牌的网关,通过谷歌搜索发现该网关存在默认的后门程序。
而后门的登录账号密码都是可以公开找到的,接着郑杜涛利用公开的账号密码成功登录到酒店的无线网关中。
至此这名工程师已经顺利连接到该酒店的内部网络,接下来郑杜涛还通过旧版数据库服务器找到管理员密码。
找到漏洞不是坏事但擅自公布漏洞细节:
攻击者通过该漏洞并找到管理员密码可以劫持酒店的网关系统,然后即可劫持所有客人的流量展开新的攻击。
例如将客人引导到自己制作的钓鱼网站上窃取账号密码,或者监听客人的网络流量窥探客人的隐私信息等等。
由于郑杜涛并未将漏洞提交给酒店并且还在自己博客公布漏洞,同时郑杜涛还将漏洞细节分享给其他人查看。
为此新加坡监管部门对郑杜涛罚款5,000新加坡元,到这里只是罚款对于擅自发布漏洞细节还算是比较轻的毕竟不用坐牢。
郑杜涛在个人博客中贴出找到的数据库连接密码:
事件继续发酵后被逮捕:
此后由于事件的发酵新加坡网络安全局决定对郑杜涛采取行动,目前郑杜涛已经被新加坡检察部门勒令逮捕。
新加坡检察部门称郑杜涛很清楚披露这些可访问的代码可能会被他人恶意利用,从而造成酒店出现损失等等。
根据上述检察部门所述新加坡多个酒店也采用相同的方案,因此漏洞公布后可能会造成连锁的网络攻击事件。
尽管郑杜涛律师称这种行为虽然导致风险增加但目前并未对任何酒店造成实际损害,所以不应该被判处重型。
但是即便如此按郑杜涛的行为在新加坡也属于犯罪行为并可能面临最高三年的监禁以及一万新加坡元的罚款。
新人上路与打死不更新系统:
23岁的郑杜涛这次发现的漏洞也他自己发现的第一个漏洞,过去几年里郑杜涛都在撰写漏洞方面的技术博客。
可能是出于发现漏洞的兴奋导致郑杜涛未考虑后果即发布漏洞信息,当然这种擅自行为肯定也是不被允许的。
但值得注意的是新加坡这些酒店使用的系统都还是非常老旧的,这些系统存在着无数漏洞也才被郑杜涛发现。
除路由网关固件存在后门漏洞长期没有进行升级外,该酒店还在使用12年前的数据库服务器(MySQL 4.1版)
这种极其薄弱的安全意识导致即便不被郑杜涛发现也会遭到其他黑客的悄悄利用,到时泄露的信息可能更多。
当然新加坡方面的态度更是让人匪夷所思,新加坡检方称“判决有助于震慑国外人士擅自访问新加坡系统”,这种与鸵鸟将脑袋塞到沙子里就以为别人看不到它似乎没什么区别。
返校季正版软件促销·即将结束
10款口碑软件难得好价!数码荔枝软件商城2018返校季正版软件促销即将截止,如果您还在试用这些软件那么请尽快购买呦~强烈安利大家试用iMazing替代iTunes,iPhone用户必备。点击阅读原文按钮领券并查看详情。