当前位置:首页-正文

腾讯工程师擅自发布新加坡酒店的服务器密码遭到逮捕

腾讯公司工程师郑杜涛此前参与在新加坡举办的安全会议时,成功发现酒店管理系统的漏洞并公布相关密码。

郑杜涛发现其所住的酒店无线网络使用的是某个品牌的网关,通过谷歌搜索发现该网关存在默认的后门程序。

而后门的登录账号密码都是可以公开找到的,接着郑杜涛利用公开的账号密码成功登录到酒店的无线网关中。

至此这名工程师已经顺利连接到该酒店的内部网络,接下来郑杜涛还通过旧版数据库服务器找到管理员密码。

找到漏洞不是坏事但擅自公布漏洞细节:

攻击者通过该漏洞并找到管理员密码可以劫持酒店的网关系统,然后即可劫持所有客人的流量展开新的攻击。

例如将客人引导到自己制作的钓鱼网站上窃取账号密码,或者监听客人的网络流量窥探客人的隐私信息等等。

由于郑杜涛并未将漏洞提交给酒店并且还在自己博客公布漏洞,同时郑杜涛还将漏洞细节分享给其他人查看。

为此新加坡监管部门对郑杜涛罚款 5,000 新加坡元,到这里只是罚款对于擅自发布漏洞细节还算是比较轻的。

郑杜涛在个人博客中贴出找到的数据库连接密码:

腾讯工程师擅自发布新加坡酒店的服务器密码遭到逮捕

事件继续发酵后被逮捕:

此后由于事件的发酵新加坡网络安全局决定对郑杜涛采取行动,目前郑杜涛已经被新加坡检察部门勒令逮捕。

新加坡检察部门称郑杜涛很清楚披露这些可访问的代码可能会被他人恶意利用,从而造成酒店出现损失等等。

根据上述检察部门所述新加坡多个酒店也采用相同的方案,因此漏洞公布后可能会造成连锁的网络攻击事件。

尽管郑杜涛律师称这种行为虽然导致风险增加但目前并未对任何酒店造成实际损害,所以不应该被判处重型。

但是即便如此按郑杜涛的行为在新加坡也属于犯罪行为并可能面临最高三年的监禁以及一万新加坡元的罚款。

新人上路与打死不更新系统:

23岁的郑杜涛这次发现的漏洞也他自己发现的第一个漏洞,过去几年里郑杜涛都在撰写漏洞方面的技术博客。

可能是出于发现漏洞的兴奋导致郑杜涛未考虑后果即发布漏洞信息,当然这种擅自行为肯定也是不被允许的。

但值得注意的是新加坡这些酒店使用的系统都还是非常老旧的,这些系统存在着无数漏洞也才被郑杜涛发现。

除路由网关固件存在后门漏洞长期没有进行升级外,该酒店还在使用12年前的数据库服务器(MySQL 4.1版)

这种极其薄弱的安全意识导致即便不被郑杜涛发现也会遭到其他黑客的悄悄利用,到时泄露的信息可能更多。

阿里云爽11返场活动即将结束
本文来源蓝点网 原创,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。