请选择 进入手机版 | 继续访问电脑版
搜索
查看: 145|回复: 2

[新闻快讯] 腾讯安全人员因黑了新加坡酒店 Wi-Fi并撰文披露,被罚5000美元

[复制链接]

87

主题

117

帖子

1万

积分

超级版主

Rank: 8Rank: 8

积分
12339
发表于 2018-9-27 08:50:09 | 显示全部楼层 |阅读模式
据雅虎新闻报道,9月24日,来自腾讯的安全工程师郑某因有意披露密码、未经授权擅自访问属于飞龙酒店数据的行为,被新加坡国家法院罚款5000美元。
8月底,郑某曾公开发表了一篇文章,详细讲述了他是如何发现并找到酒店Wi-Fi漏洞的过程:
这几天在新加坡参加 HITB,比起各类料理,更让我感兴趣的是它的酒店 WiFi。去了三家酒店,WiFi 用的都是同一套认证系统,是 AntLabs 的 IG3100 的设备。连接到 WiFi 后会弹出一个地址为 ezxcess.antlabs.com 的认证页面:
这个地址一般来说都是解析到 traceroute 第二跳的 IP 段的最后一位地址为 2 的主机上,比如 traceroute 的结果为 10.10.1.1,那么会解析到 10.10.1.2。 秉持着我到一个酒店日一个的精神,我对于这套系统进行了一个深入的测试,最后通过串联了 4 个漏洞拿到系统的 root 权限。
据雅虎新闻透露,郑某在 8 月 27 日就因参加 HITB 安全会议,入住了新加坡位于武吉士的飞龙酒店。
一天后,在好奇心的驱使下,他很想知道三家酒店所用的同一套的 Wi-Fi 认证系统是否存在漏洞,所以通过谷歌,他成功地搜索到了这款认证系统的默认用户ID和密码。
我找到了这个系统测两个默认口令。一个是 telnet 的帐号,帐号密码为 **********,另外一个是 ftp 的帐号,帐号密码为 **********。很幸运,遇到的大部分酒店这两个帐号都没有禁用。
郑某连接到酒店的WiFi网关后,在接下来的三天内开始进行执行脚本、解密文件和破解密码的操作,最终进入了酒店 Wi-Fi 服务器的数据库。
也就是说,他不仅公布了酒店的Wi-Fi服务器的管理员账号和密码(虽然是默认的),而且还把详细的攻击步骤公之于众。据雅虎新闻报道,他除了撰写文章,也在 WhatsApp 群聊中共享了那篇博文的URL链接,并在不止一个论坛上被分享。
文章发出后,来自新加坡网络安全局的人员无意中看到了他的这篇博客,立即提醒飞龙酒店的管理层。郑某在接到要求后也撤下了那篇博文。
郑的律师 Anand Nalachandran 指出,虽然郑的行为导致风险增加,但并未对酒店造成实际损害。由于郑已经在监管期间待了几天,律师要求罚款不超过5000美元。
按照新加坡法律的规定,对于未经授权披露密码的罪行,郑某可能被判入狱三年,最高罚款10000美元。但考虑到郑某似乎出于好奇而犯了罪,没有造成“实际的危害,所以目前做出了罚款5000美元的处罚。”

87

主题

117

帖子

1万

积分

超级版主

Rank: 8Rank: 8

积分
12339
 楼主| 发表于 2018-9-27 08:50:50 | 显示全部楼层
发现后应该上报酒店,不该发帖炫耀啊。

32

主题

100

帖子

291

积分

版主

Rank: 7Rank: 7Rank: 7

积分
291
发表于 2018-9-27 10:40:58 | 显示全部楼层
不用看了,是个白帽子,黑帽子没这么傻。
我蒙上自己的双眼,只想记住最后看你的那一眼。 我刺瞎自己的双眼 只为记住那逝去的红颜。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|新华三智能终端 ( 浙ICP备09064986号-1 浙公网安备 33010802004416号

快速回复 返回顶部 返回列表