Ricercatore viola il Wi-Fi dell’hotel e pubblica le password: denunciato e multato

Singapore

Se hai un martello, tutto ti sembrerà un chiodo” è una frase attribuita a molti autori, Bloch, Maslow, Twain.

Capita spesso che un hacker, soprattutto se giovane e rampante, non resista alla tentazione di saggiare le difese di una rete, di un dispositivo, di una qualsiasi barriera informatica capiti a tiro.

Quindi se sei un hacker, se sei stato invitato a un convegno di hacker, se hai 23 anni e tanta voglia di farti conoscere, se sei in albergo e scopri che il gateway che controlla la rete Wi-Fi dell’hotel ha la password Telnet di default, potresti essere tentato di:

1. Violare il gateway
2. Cercare e trovare qualcosa di ghiotto, come ad esempio un database SQL vulnerabile
3. Pubblicare tutto sul tuo blog, evitando accuratamente di segnalare il problema all’hotel

Ed è proprio quello che ha fatto Zheng Dutao, un giovane ingegnere cinese di 23 anni che lavora per l’azienda di sicurezza Tencent, durante un convegno (Hack In The Box) a Singapore, come riportato da ZDNet.

Dopo aver trovato un device AntLabs IG3100 con le credenziali Telnet di default, Zheng è dapprima entrato nel suddetto device, quindi ha usato script ed exploit vari per ottenere un accesso più elevato, infine ha violato un database SQL che conteneva informazioni sulla rete Wi-Fi usata sia per il personale sia per gli ospiti dell’albergo.

Ma invece di riportare il problema alla direzione dell’albergo, Zheng Dutao ha pensato bene di pubblicare tutto sul suo blog. Password incluse.

Pochi giorni dopo la Cyber Security Agency di Singapore (che, va dato atto, non ha perso tempo) ha letto il post del giovane autore, ha allertato l’hotel e ha fatto arrestare il ricercatore che si trovava ancora sul posto.

I giudici tuttavia sono stati di manica larga, hanno considerato l’accaduto come una ragazzata (cosa che effettivamente era) e hanno multato il giovane per 5.000 Dollari di Singapore, circa 3.100 Euro, consentendogli di tornare in Cina.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.