Nhà chức trách Singapore vừa phạt một nhà nghiên cứu bảo mật Trung Quốc số tiền 5.000 SGD (khoảng 3.600 USD) vì đã hack mật khẩu hệ thống Wi-Fi của một khách sạn địa phương mà không được phép, và sau đó đăng tải trong một bài đăng trên blog về điều đó, cũng như tiết lộ mật khẩu mạng nội bộ của khách sạn.
Sự việc xảy ra vào cuối tháng Tám vừa qua, khi Zheng Dutao, người Trung Quốc, nhà nghiên cứu bảo mật 23 tuổi đang làm việc cho người khổng lồ về Internet của Trung Quốc - Tencent - đến Singapore để tham gia hội nghị bảo mật Hack in the Box. Dường như quá lười hỏi mật khẩu Wi-Fi của khách sạn, Zheng đã tự ý hack vào mạng lưới Wi-Fi mà không xin phép của chi nhánh khách sạn thuộc Fragrance Hotel, nơi anh nghỉ lại trong thời gian diễn ra hội nghị. Khách sạn này sử dụng AntLabs IG3100, thiết bị dùng để kiểm soát truy cập vào mạng Wi-Fi cho cả nhân viên và khách hàng đến nghỉ nơi này.
Zheng phát hiện ra rằng thiết bị này vẫn đang sử dụng mật khẩu Telnet mặc định như khi xuất xưởng, và vì vậy anh đã sử dụng thông tin này để truy cập vào lớp shell giới hạn của thiết bị.
Từ đây, anh đã dùng thêm nhiều đoạn script và các cách khai thác khác nhau để nâng mức độ truy cập của mình và cuối cùng khám phá ra mật khẩu của cơ sở dữ liệu MySQL có chứa thông tin về mạng lưới Wi-Fi nội bộ của khách sạn.
Tuy nhiên, thay vì báo cáo vấn đề bảo mật này với khách sạn, anh lại đăng tải phát hiện của mình lên một bài đăng trên blog và chia sẻ online. Mặc dù không gây hư hại gì cho hệ thống Wi-Fi của khách sạn, nhưng anh cũng không loại bỏ các thông tin nhạy cảm trong bài đăng đó. Điều này làm lộ mật khẩu mạng Telnet và MySQL cùng các chi tiết khác để các hacker khác có thể khai thác chúng, gây ra nhiều cuộc tấn công nghiêm trọng hơn cho hệ thống mạng của khách sạn.
Sau đó, cơ quan An ninh mạng Singapore (CSA Cyber Security Agency of Singapore) phát hiện ra blog của Zheng, phát đi cảnh báo với khách sạn và bắt giam nhà nghiên cứu bảo mật này. Theo các trang tin Trung Quốc, vào thứ Hai vừa qua, sau khi tiến hành điều tra, các nhà chức trách Singapore đã phạt nhà nghiên cứu này số tiền kể trên. Giờ đây Zheng được tự do và có thể về nước.
Nếu tòa án Singapore không kết luận rằng, anh làm thế chỉ như một thú vui và không chủ định phạm tội, Zheng có thể phải đối mặt với một án phạt khắc nghiệt hơn nhiều, có thể lên đến 10 năm tù.
Tuần trước ở Trung Quốc cũng có một vụ tấn công tương tự vào hệ thống mạng trong khách sạn. Sau đó, cảnh sát Trung Quốc đã bắt được một hacker, người bán dữ liệu của một trong những chuỗi khách sạn lớn nhất nước này lên web ngầm. Trong vụ việc đó, nghi phạm dường như không tấn công khách sạn, nhưng có vẻ kẻ đó đã phát hiện ra dữ liệu trên GitHub sau khi một nhà phát triển phần mềm của khách sạn vô tình upload nó lên mạng.
Tham khảo ZDNet