编译：蒋宝尚

真是好奇心害死猫。

腾讯的安全工程师郑某在新加坡参加Capture the Flag（夺旗赛）期间，好奇“检查”了一下酒店 WiFi 漏洞，并顺带进入了酒店的数据库。郑某随机发布博客记录了整个入侵过程。相关内容迅速引起新加坡警方注意，并且逮捕了这位工程师。

这是一个有点尴尬的故事。

郑某今年23岁，是位刚毕业的大学生，上个月到新加坡参加夺旗赛。这本来就是个黑客、反黑客安全专家进行竞技的网络安全比赛，每年8月都会在新加坡洲际大酒店举行。

8月27日入住武吉士的飞龙酒店后，出于“好奇（自称）”，他成功通过谷歌搜索了酒店WiFi系统的默认用户名和密码。

过程中他发现酒店的服务器模型存在一个漏洞，郑小哥利用这个漏洞获取了服务器访问权限。在接下来的三天内开始执行脚本，破解文件和密码，最后成功登入酒店WiFi服务器的数据库。

他还曾尝试访问飞龙酒店旗下小印度分店（“Little Indian”）的WiFi服务器但未成功。

接下来他在博客中发表了题目为《Exploit Singapore Hotels》的文章，记录这次入侵行为。并在博客文章中公布飞龙酒店WiFi服务器的管理员密码，还在一些群聊中分享了这篇博客文章。

也许，顺利入侵这件事让郑小哥颇有成就感，希望分享给更多的人。但是，除了引起了技术人员的讨论，这篇文章也成功引起了新加坡网络安全局（CSA）的注意。

CSA随后对其进行了抓捕。

虽然，郑小哥在警方和酒店的要求下，删除了那篇文章，但是，还是被检方要求5000新加坡币的罚款。

考虑到他是出于好奇而犯罪，且并未造成任何“有形损失”，并未加大处罚，毕竟对于擅自披露密码的犯罪行为，新加坡警方最高可以处罚三年监禁与1万新加坡币的罚款。

酒店9月1日报案后，警方就展开了对他的调查，发现从2014年以来他就一直在撰写服务器漏洞的博客。这是他第一次发布自己发现的漏洞。

由于其他酒店采用相同的服务器模式，可能导致其他酒店成为网络攻击的受害者，也可能让外国黑客入侵新加坡的网络。

相信，对郑某的惩罚能够震慑到其他的“好奇者”。

其实，新加坡一直也不太平，新加坡政府曾在7月20日表示，6月27日至7月4日期间，有150万份健康档案遭到破坏，并存在针对新加坡总理李显龙的黑客行为。

另外，据Frost＆Sullivan在微软委托进行的一项研究中估计，去年新加坡公司的网络攻击造成了177亿美元的经济损失。这一数字将占该市国内生产总值的6％。

后记：尽管新加坡警方和相关报道中已经有公开资料公布了郑某的姓名，但这件事尚未对新加坡酒店造成实际伤害。文摘菌在这篇文章中决定对其进行匿名，希望能尽量保护这位可以用技术做更有意义的事情的年轻人，也提醒技术人员，在代码和道德中做好平衡。

相关报道：

https://sg.news.yahoo.com/tencent-engineer-attending-cybersecurity-event-fined-hotel-wifi-hacking-112316825.html

https://www.scmp.com/tech/enterprises/article/2165855/tencent-engineer-slapped-fine-hacking-hotel-wi-fi-singapore