“Se hai un martello, tutto ti sembrerà un chiodo” è una frase attribuita a molti autori, Bloch, Maslow, Twain.
Capita spesso che un hacker, soprattutto se giovane e rampante, non resista alla tentazione di saggiare le difese di una rete, di un dispositivo, di una qualsiasi barriera informatica capiti a tiro.
Quindi se sei un hacker, se sei stato invitato a un convegno di hacker, se hai 23 anni e tanta voglia di farti conoscere, se sei in albergo e scopri che il gateway che controlla la rete Wi-Fi dell’hotel ha la password Telnet di default, potresti essere tentato di:
1. Violare il gateway
2. Cercare e trovare qualcosa di ghiotto, come ad esempio un database SQL vulnerabile
3. Pubblicare tutto sul tuo blog, evitando accuratamente di segnalare il problema all’hotel
Ed è proprio quello che ha fatto Zheng Dutao, un giovane ingegnere cinese di 23 anni che lavora per l’azienda di sicurezza Tencent, durante un convegno (Hack In The Box) a Singapore, come riportato da ZDNet.
Dopo aver trovato un device AntLabs IG3100 con le credenziali Telnet di default, Zheng è dapprima entrato nel suddetto device, quindi ha usato script ed exploit vari per ottenere un accesso più elevato, infine ha violato un database SQL che conteneva informazioni sulla rete Wi-Fi usata sia per il personale sia per gli ospiti dell’albergo.
Ma invece di riportare il problema alla direzione dell’albergo, Zheng Dutao ha pensato bene di pubblicare tutto sul suo blog. Password incluse.
Pochi giorni dopo la Cyber Security Agency di Singapore (che, va dato atto, non ha perso tempo) ha letto il post del giovane autore, ha allertato l’hotel e ha fatto arrestare il ricercatore che si trovava ancora sul posto.
I giudici tuttavia sono stati di manica larga, hanno considerato l’accaduto come una ragazzata (cosa che effettivamente era) e hanno multato il giovane per 5.000 Dollari di Singapore, circa 3.100 Euro, consentendogli di tornare in Cina.
