因公开破解酒店 WiFi，腾讯 23 岁程序员被罚款5000美元！

导读：腾讯 23 岁安全工程师郑某随手破解了个酒店 WiFi，竟遭遇牢狱之灾。

作者：郭芮整理丨文章来源：CSDN（CSDNnews）

新加坡最近举办的“夺旗”（Capture the Flag）比赛汇聚了各行各业的安全专家们，他们在其中展示了强大的黑客攻击和反黑客能力。但是，前去参会的腾讯 23 岁安全工程师郑某，却转而打起了所入驻酒店的 WiFi 主意。

郑某在这次新加坡网络安全会议期间，很好奇他下榻的飞龙酒店（Fragrance Hotel） WiFi 服务器有没有安全漏洞。意外的是，他成功地黑入了这台服务器，还撰写了一篇博客公开介绍漏洞破解的详细始末，并且堂而皇之地贴出了酒店管理员使用的服务器密码。

然后悲剧就发生了——这篇博客“幸运”地引起了新加坡网络安全局（CSA）的注意，结果炫技不成反吃了牢饭。

腾讯 23 岁安全工程师违法破解酒店 WiFi

郑某是在上个月的 27 日入住了武吉士的飞龙酒店。在郑某公开的博文中，他写到，“秉持着到一个酒店就想破解一番的精神，我对这套（酒店）系统进行了一个深入的测试，最后通过串联 4 个漏洞拿到了系统的 root 权限。”

通过谷歌，他首先成功地搜索到了这家酒店 WiFi 系统的默认用户 ID 和密码。在连接到酒店的 WiFi 网关后，他又利用接下来的三天时间执行脚本、解密文件和破解密码，然后成功闯入了该酒店 WiFi 服务器的数据库。此外，他还试图访问飞龙酒店小印度分店的 WiFi 服务器，但没有成功。

顺利得手之后，郑某就在其博客上阐述了攻击步骤，还在其中公布了飞龙酒店 WiFi 服务器的管理员密码，以及在 WhatsApp 群聊中分享了博文链接。

CSA 无意中看到了他的这篇博客，便立即提醒飞龙酒店的管理层。虽然郑某在接到要求后随即删除了那篇博文，但事件造成的影响已经扩大了。9 月 1 日，飞龙酒店 IT 副总裁于向警方提交了这起黑客行为报告。对此，郑某律师阿南•纳拉钱德兰（Anand Nalachandran）声称，虽然郑某的行为导致（新加坡酒店系统的）安全风险加大，但是并没有对这家酒店造成“实际的损害”，而且郑某已经被拘留了好几天，他要求罚款不超过 5000 美元。

但助理检察官蒂亚盖什•苏库马兰（Thiagesh Sukumaran）表示：“作为一名安全专业人士，郑某（应该）知道，披露这些访问代码后酒店 WiFi 服务器中的漏洞很可能会被用于非法目的，有可能给这家连锁酒店造成损失。”此外，检方还提到，由于其他酒店使用同类的服务器，郑某的行为可能导致其他酒店成为网络攻击的受害者，黑客能轻易获取酒店客人的信息。

对于 CSA 的指控，郑某供认不讳：有意披露密码，未经授权擅自访问属于飞龙酒店的数据。最后虽得以免于牢狱之灾，但仍被处以 5000 美元的罚款。

腾讯回应对方系实习生

会加强新人培训工作

事实上，自 2014 年以来，郑某一直在撰写关于服务器漏洞的博客，他本人也是服务器漏洞安全的狂热爱好者。作为今年的应届毕业生，他是以个人身份受邀去新加坡参加 HITB GSEC CTF 2018 的。据腾讯公关部回应表示：

当事人郑某为今年应届毕业生，在入职前曾参加 CTF 安全攻防赛事。

其个人于 8 月 29 日受邀请去新加坡参加 HITB GSEC CTF 2018，参与现场出题，并到新加坡国立大学进行 workshop 分享。

他在入住酒店期间发现了酒店的 WiFi 系统存在默认登录口令，在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害，但其在博客公布默认口令的行为可能会被其他人恶意利用，从而给酒店造成损失，法院结案对其进行罚款警示。

郑某对外测试行为违反公司安全测试规范，考虑其尚在试用期间，我们决定将他作为案例警示。我们会一如既往强化对新人的安全教育和上岗培训，严格遵守各国法律法规。

至此，这位 23 岁安全工程师闹得事儿也算是画上了句号。但是，关于安全工程师这一岗位的责任操守却在网上引发了热烈讨论。在其位而谋其职，身为安全工程师，除去必备的技术基础外，应当具备的职业操守同样不能少。

@莫伊郭：作为安全工程师，检测系统漏洞也许是职业素养，但公布出来真是违背人品了。

@Daley枫：黑客行为本身就是违法的行为，竟然还敢公之于众！这样无法无天的行为就该严判！

@拉风吉普：查出酒店网络安全漏洞是件好事，如能把查出的结果及时提供给酒店管理部门而不是在网上公布，就好了。说不定还能得到酒店的奖励，而不是现在的罚款。一念之差，结果大不一样。