Власти Сингапура наказали китайского эксперта в области информационной безопасности внушительным штрафом за то, что во время пребывания в одной из местных гостиниц он взломал систему Wi-Fi в отеле, а потом еще и рассказал о своем “хакерском подвиге” в блоге и опубликовал пароли для доступа во внутреннюю сеть отеля.
Инцидент произошел в конце августа 2018 года. 23-летний Дженг Дутао (Zheng Dutao), работающий на китайского интернет-гиганта Tencent, приехал в Сингапур для участия в конференции Hack In The Box. Поселившись в одном из отелей сети Fragrance Hotel, молодой человек обнаружил, что его беспроводная сеть не защищена должным образом.
Дело в том, что подключение к Wi-Fi-сети отеля происходило через интернет-шлюз AntLabs IG3100. Его-то и взломал ИБ-эксперт, воспользовавшись тем, что в устройстве оставался заводской пароль для Telnet. С его помощью молодой человек сначала получил доступ к ограниченному функционалу командной консоли шлюза, а затем, пользуясь различными скриптами и эксплойтами, повысил свои привилегии, что позволило получить пароль к базе данных MySQL, содержавшей информацию о внутренней Wi-Fi-сети отеля.
Вместо того чтобы уведомить службу безопасности отеля о выявленных уязвимостях, ИБ-эксперт поспешил поделиться своими открытиями в блоге. Мало того, молодой человек раскрыл все подробности, включая пароли от Telnet и MySQL, а также прочие “лакомые” для хакеров детали.
Спустя день сотрудники Агентства кибербезопасности Сингапура обнаружили запись и оповестили руководство отеля о взломе. Автор блога был задержан.
Последующее расследование показало, что Дженг Дутао не планировал причинить какого-либо ущерба отелю, а взломал его Wi-Fi-сеть из профессионального интереса. В итоге правоохранители решили оштрафовать незадачливого ИБ-эксперта на пять тысяч сингапурских долларов (около 3,6 тысячи долларов США), после выплаты которых молодой человек смог беспрепятственно отправиться к себе на родину в Китай.
Наказание могло быть гораздо суровее, если бы следователи усмотрели в действиях преступный умысел. В этом случае парню грозило бы тюремное заключение на срок до 10 лет, отмечают обозреватели ZDNet.
Издание CNET выяснило, что после инцидента Дженг Дутао, публиковавший записи в блоге под ником Ricter, закрыл свой сайт ricterz.me. На просьбу журналистов прокомментировать произошедшее, молодой человек ответил отказом.
Между тем, разработчик сетевых технологий ANTLabs, устройство которого и стало жертвой взлома, поблагодарил специалиста Tencent за обнаружение уязвимости. В компании отметили, что выявленная брешь имелась только в устаревших моделях, которые уже сняты с производства. Источник