Исследователя оштрафовали за найденную уязвимость

Исследователи проблем безопасности зарабатывают неплохие деньги на программах премирования bug bounty, сообщая компаниям и организациям об уязвимостях в их продуктах и сервисах. Однако несоблюдение «правил игры» может обернуться и серьезными убытками. Самый наглядный пример – история китайского программиста Женя Дутао, оштрафованного властями Сингапура на 5 тысяч сингапурских долларов (около 3660 долларов США).

В августе нынешнего года Жень Дутао, работающий в китайской компании Tencent, прибыл в Сингапур на конференцию по кибербезопасности Hack in the Box. Остановившись в отеле, программист заинтересовался подключением к Wi-Fi сети и обнаружил уязвимость интернет шлюза AntLabs IG3100. Проэксплуатировав ее, Жень Дутао получил доступ к базе данных и паролям внутренней сети отеля. После чего не нашел ничего лучше, чем опубликовать описание проблемы в собственном блоге, не поставив в известность администрацию отеля. Действия исследователя трудно назвать иначе как безответственными: киберпреступники легко могли использовать его информацию для вполне реальных атак. Обнаружив публикацию, власти Сингапура предупредили отель о проблеме, а также задержали незадачливого исследователя. Впоследствии Жень Дутао полностью удалил свой блог из сети.