Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

dastinc 10/07 16:58數發部用了一堆沒資訊背景的地政職系公

dastinc 10/07 16:58務員 都不知道在幹嘛 笑死

trashcan0512 10/07 16:58有當過國策顧問的董事長真好 政府

trashcan0512 10/07 16:58都幫忙講話

acetylation 10/07 16:59數發部只能呼籲嗎？

stark5566 10/07 17:04連數發部都出來幫忙洗地

justbefriend 10/07 17:05不然數位部能幹嘛

Porops 10/07 17:07簡訊作為2FA根本就不是一個安全的選項，

Porops 10/07 17:07別再推行簡訊2FA了

HarukaLoveu 10/07 17:17所以為何只有PCHOME出事？結論是？

jimhall 10/07 17:17不用簡訊要用什麼

alan6999 10/07 17:17有政府好安心檢討受害者最會

lionel20002 10/07 17:21党幫忙洗地

kadasaki 10/07 17:23我可以接受是撞庫攻擊呀，但是誰的資料

kadasaki 10/07 17:24庫，是PCHOME資料庫撞PCHOME資料庫？

kadasaki 10/07 17:24是撞庫就不用調查嗎？

Porops 10/07 17:25就算以email做2FA都比簡訊安全，不用簡訊

Porops 10/07 17:25選項還有很多好嗎，透過Google Authentic

Porops 10/07 17:25ator就是一般網站都能做到又安全又方便的

Porops 10/07 17:252FA，也有很多網站如Steam的2FA會做在自

Porops 10/07 17:25己的APP上，google或facebook因為滲透率

Porops 10/07 17:25高所以可以採用直接按個是就登入成功那也

Porops 10/07 17:25是一種2FA，對於網家這種規模來說這只是

Porops 10/07 17:25要不要做而已，根本就是圖方便不做

sheng76314 10/07 17:25數發部是出國的

kadasaki 10/07 17:27能這樣撞PCHOME的資料庫的資料規模有多

kadasaki 10/07 17:28大，才是需要探討調查的

nisioisin 10/07 17:28前面有說一些人是只在PChome弄那組帳

nisioisin 10/07 17:28密，不知道哪的庫這麼厲害能撞到

kadasaki 10/07 17:30下次我偷吃被老婆抓我也說是撞庫好了

SSSONIC 10/07 17:33所以人抓到沒?

kadasaki 10/07 17:34在網站上蒐集已經被公開揭露的個人資訊

kadasaki 10/07 17:34你們各位是不是都把帳密刊在網路上？

Kingsman 10/07 17:44笑死，一樓專業喔，資訊處理職系去數發

Kingsman 10/07 17:44部過完水就跑回原單位降調了啦。不過我

Kingsman 10/07 17:44還是要說，民間說撞庫你就真的相信撞庫

Kingsman 10/07 17:44，就是規避企業產生信任機制的一環，說

Kingsman 10/07 17:44好履約保證履到哪去？你儲值開驗證也沒

Kingsman 10/07 17:44辦法阻止P幣、Hami跟環保綠點直接被抵

Kingsman 10/07 17:44用掉。Pchome如果覺得自己是無辜第三人

Kingsman 10/07 17:44完全不需任何行政責任，那就最好跟中華

Kingsman 10/07 17:44電信被盜用一樣有點屁股，把月結的點數

Kingsman 10/07 17:44卡止付後，返還被害人。而不是在那邊什

Kingsman 10/07 17:44麼等偵查隊來調卷，阿你一個平台責任就

Kingsman 10/07 17:44是看著消費者透過介接你的平台，連中華

Kingsman 10/07 17:44電信的點數都一起被吃掉喔！？

uegajde 10/07 17:46希望數位部在背書前能說明一下他們做了

uegajde 10/07 17:46什麼查證還有監督的工作、看到什麼，所

uegajde 10/07 17:46以才背書，不然這文看起來就像他們單純

uegajde 10/07 17:46對網家說法照單全收，那就幾乎是瀆職了

uegajde 10/07 17:51更正：數位部→數發部

COSMED2021 10/07 17:56鄉民出一張嘴都怪別人最棒了，哈佛學

COSMED2021 10/07 17:56生改Meta智慧眼鏡上路每個人的個資都

COSMED2021 10/07 17:56看的到，很多人都愛把個資在網路上炫

COSMED2021 10/07 17:57耀公布然後可能的帳號密碼就被程式抓

COSMED2021 10/07 17:57出來撞會很難嗎？

Kingsman 10/07 17:58數發部畢竟就中央單位，處理過就當我已

Kingsman 10/07 17:58經處理了，不然就是把這個當成一般消保

Kingsman 10/07 17:58爭議案件往地方丟結束，沒有很期待他有

Kingsman 10/07 17:58什麼厲害的作為。但是Pchome想定調成個

Kingsman 10/07 17:59案這點我是很不認同的，你真的一點責任

Kingsman 10/07 17:59都沒有？

COSMED2021 10/07 17:59你們被盜的全都報案去，再哪只會怪別

COSMED2021 10/07 17:59人有什麼用，像高鐵點數不就抓一個了

COSMED2021 10/07 17:59，資訊安全要靠自己，不然為甚啥是你

COSMED2021 10/07 17:59被盜不是別人？

ABA0525 10/07 18:01可憐

ABA0525 10/07 18:01怕被告賠錢

COSMED2021 10/07 18:01不是個案你們就跟直銷被倒會一樣組自

COSMED2021 10/07 18:01救會啊，每天都網路傳言，組自救會提

COSMED2021 10/07 18:01團體訴訟啊，看有多少人，是不是個案

COSMED2021 10/07 18:01啊

mmchen 10/07 18:09犯人保護網正常運作

waitu0526 10/07 18:15撞庫？笑死

doom3 10/07 18:25可以被撞到一堆災情 要馬沒在防要馬庫外洩

speedythief 10/07 18:28大家都知你pchome老大有方法可提前

speedythief 10/07 18:28打疫苗

wangno77 10/07 18:33餅叔不熟

dickstar 10/07 18:44只撞高儲值用戶，厲害

csieflyman 10/07 18:50如果數發部沒有權限進到 pchome 稽查

csieflyman 10/07 18:50 現在業者也已有作為不會再發生 監管

csieflyman 10/07 18:50只能要求業者交報告 未來頂多制定資安

csieflyman 10/07 18:50規範罰錢吧 所以受害者還是要報案 透

csieflyman 10/07 18:50過司法途徑解決才能求償

GiantChicken 10/07 19:15這個好笑 明明就是超針對的盜帳

now99 10/07 19:49啟用passKey不就好，露天都可以

jimhall 10/07 19:51笑死 怪顧客就好

KuwaK 10/07 19:55超厲害 只撞高儲值金的

csieflyman 10/07 20:07如果駭客真的拿到高儲值名單 那受害

csieflyman 10/07 20:07者應該集中在 "全體使用者" 依儲值金

csieflyman 10/07 20:07額高低排序的前幾名名單中 金額至少

csieflyman 10/07 20:07應該都是數萬元起跳 因為金額大一定會

csieflyman 10/07 20:07報警 所以報案人數應該有不少人

flypenguin 10/07 20:09要修法把經濟部的監管權限轉移都被擋

flypenguin 10/07 20:10是能期待數發部做什麼，沒有法律授權

flypenguin 10/07 20:10他也只能打打嘴炮不能實質干涉

Kingsman 10/07 20:24反正個資保護委員會也還在籌備，這種裁

Kingsman 10/07 20:24罰權責不明的期間不用想誰會出來當主事

Kingsman 10/07 20:24者，只會說權責並非本部。相關與我身邊

Kingsman 10/07 20:25的人一同進行的行政程序，在還沒明確結

Kingsman 10/07 20:25論前就不跟Ptt噓文檢討被害的傢伙贅述了

Kingsman 10/07 20:25，我應該不需要噓文的指導，但我就看要

Kingsman 10/07 20:25累積幾個案件處理編號，他們才會覺得不

Kingsman 10/07 20:25是個案。反正已經有心理准備這些會是不

Kingsman 10/07 20:25斷移文跟併案的過程了，準備點耐心就是

Kingsman 10/07 20:25。

cmshow 10/07 20:40數發部幫業者洗地，那還需要主管機關幹嘛

misu2718 10/07 20:44多一批領薪不做事的主管機關，就跟資動

misu2718 10/07 20:44部一樣

chiungsuyi 10/07 20:51開啟多重驗證是平台應該要做的事，P

chiungsuyi 10/07 20:51CHOME任由盜用者介接平台、偷光會員

chiungsuyi 10/07 20:51的儲值金，數發部裝瞎？

hr07 10/07 21:01有關係就沒關係 蒸蚌

chiungsuyi 10/07 21:07 https://i.imgur.com/UHQoskO.jpeg

chiungsuyi 10/07 21:07

chiungsuyi 10/07 21:08數發部知道自己在講什麼嗎…有夠雷

goodjackgu 10/07 21:12這樣的發言，我也會說

iceyang 10/07 21:15自己去跟老闆說翻版 自立自強壓

thomaschion 10/07 21:58之前來稽核的官員根本什麼都不會，

thomaschion 10/07 21:58條款不知哪裡抄的，還在那邊民眾要

thomaschion 10/07 21:58開二階段，PC home 之前根本沒有

qwe123456460 10/07 22:18還以為今天網家會大跌

POLICEHK 10/07 22:35你們太不給力了，高鐵賺十萬就被抓了

phoque 10/07 22:44推文說pchome撞庫pchome超好笑

MixBear 10/07 22:50別家就沒問題

brk 10/08 00:09Pchome禮拜五才開始有2FA登入喔

brk 10/08 00:10出事之前單一密碼就可以登入 民眾根本沒有選

brk 10/08 00:10擇

brk 10/08 00:13Pchome果然政商關係良好 都串好說辭了

m87dd05 10/08 00:16我怎麼記得前幾天有文章說pchome 否認有

m87dd05 10/08 00:16資安問題？

duolala 10/08 00:23現在冷靜下來想一想，應該不至於資料庫

duolala 10/08 00:23外洩造成的，因為一般帳密設計會使用

duolala 10/08 00:24雜湊加密儲存(一般來說不可逆)

duolala 10/08 00:25除非網家用明碼儲存，

duolala 10/08 00:25我不知道是否有蠢成這樣

duolala 10/08 00:25所以就算資料庫外流了，你拿到的是加密值

duolala 10/08 00:26你如果沒辦法還原成原本的值

duolala 10/08 00:26(雜湊一般來說只能單向)

duolala 10/08 00:27那手中拿到加密的值

duolala 10/08 00:27一定不會等於加密值的加密

duolala 10/08 00:28所以帳號密碼就不會一致，

duolala 10/08 00:28也就登錄不進去系統

duolala 10/08 00:28我預設的前提是網家用雜湊儲存密碼

duolala 10/08 00:29和雜湊沒被破解，以上是個人見解

sharon1006 10/08 00:49專門撞高儲值帳號也太會撞了 有夠扯

tinlans 10/08 01:05這討論串太多人誤解這種攻擊的特徵了，

tinlans 10/08 01:06這種攻擊就是要先大量試登一次確認手上的

tinlans 10/08 01:06帳密清單有哪些是有價值的，先用消去法

tinlans 10/08 01:06把沒價值的排除，順便存好 cookies，

tinlans 10/08 01:07最後再一口氣針對高價值帳號下手。

tinlans 10/08 01:07然後對岸用撞庫這詞彙其實也容易招人誤解

tinlans 10/08 01:08成是拿 A 資料庫的內容碰撞 B 資料庫。

tinlans 10/08 01:08然後就會想 B 是 PChome，那 A 是誰？

tinlans 10/08 01:09A 其實是入侵者手上的社工庫，一份來自各

tinlans 10/08 01:09種管道收集而來的帳密及其它個資的清單。

tinlans 10/08 01:10來源很多樣化，盜版軟體註冊機植入木馬側

tinlans 10/08 01:11錄來的，類似伊莉那類論壇但使用古老版本

tinlans 10/08 01:11有漏洞的網站來的，一些店家自己架設網站

tinlans 10/08 01:12但有漏洞來的，非常多元。

tinlans 10/08 01:13這種攻擊要造成實際損失才比較容易引起

tinlans 10/08 01:13警覺，所以在未確認自己手上這份清單有

tinlans 10/08 01:13多少筆帳密是有效之前，不會貿然對平台

tinlans 10/08 01:14發動總攻，所以特徵一定是先掃，再集中

tinlans 10/08 01:15下手，兩波之間有時間差，就是典型特徵。

tinlans 10/08 01:16執行這攻擊的通常帳密清單也不是靠自己本

tinlans 10/08 01:16事收集來的，很多是買來的，所以要先掃。

tinlans 10/08 01:17如果 100% 知道哪筆帳密是有效且有價值

tinlans 10/08 01:17帳號，沒必要分兩波增加被防禦風險。

tinlans 10/08 01:20像有做股票的在證券商都有開戶，但也不一

tinlans 10/08 01:20定有開複委託，就是能交易海外股票的。

tinlans 10/08 01:20當時攻擊者也是先掃出有複委託的帳號再一

tinlans 10/08 01:21口氣下手，當時遭受攻擊的券商有很多在第

tinlans 10/08 01:21一波掃描的時候就發現，主動通報主管機關

tinlans 10/08 01:22而沒受害，所以通報的有很多家，實際受害

tinlans 10/08 01:22的券商卻不多，這就是分兩波攻擊的風險。

tinlans 10/08 01:24這種攻擊對一個平台一輩子只有一次機會，

tinlans 10/08 01:25所以一定要讓單次攻擊產生最大效益。

tinlans 10/08 01:27如果邊登邊確認價值邊交易，你可能 50 萬

tinlans 10/08 01:27筆資料跑下來只有 5 個帳號有價值，也都

tinlans 10/08 01:28交易下去了，造成損失就會有引起平台關注

tinlans 10/08 01:28，可能賺 5 筆這招就被平台封了。

tinlans 10/08 01:31實務上大多網站不像券商在第一波就能發現

tinlans 10/08 01:32，所以為了最大化效益，都是這樣拆兩波。

tinlans 10/08 01:34這種攻擊的收益形式在不同平台也有不同

tinlans 10/08 01:34形式，沒辦法無確認成交虛擬商品銷贓的，

tinlans 10/08 01:35可以改成收集個資來賣給詐騙集團、用盜來

tinlans 10/08 01:35的帳號開設詐欺賣場、仿冒品賣場，或者直

tinlans 10/08 01:35接拍賣帳號本身。

tinlans 10/08 01:36所以這種攻擊其實 15 年以前就很多了，

tinlans 10/08 01:37只是每次都以使用者指責平台資安問題收尾

tinlans 10/08 01:38，後續就不了了之，強化的只有已受害平台

tinlans 10/08 01:38的資安，使用者本身還是依然故我。

tinlans 10/08 01:39然後在未受害未加強防禦的平台再吃一次虧

tinlans 10/08 01:41如果不缺錢的可以去玩玩 telegram 上的

tinlans 10/08 01:42社工機器人之類的服務，把你朋友主管的

tinlans 10/08 01:42私人手機或信箱餵進去，會意外看到很多

tinlans 10/08 01:42他們用過的其它帳號、信箱和密碼。

ideekao 10/08 01:44樓上的說法讓我感到害怕 瑟瑟發抖~

ideekao 10/08 01:44https://imgur.com/DawXH2w

tinlans 10/08 01:44搭配暗網在賣的戶政資料，交叉比對就可得

tinlans 10/08 01:45這些人的身分證字號和生日，一些用生日當

tinlans 10/08 01:452FA 的金融機構、網站這機制就形同虛設。

tinlans 10/08 01:47喔有些網站信箱不給換的原因是，它們工程

tinlans 10/08 01:48師對密碼做 hash 時會拿它來當加鹽的素材

tinlans 10/08 01:48，如果可以更換的話做起來很麻煩。

sharon1006 10/08 01:49但原原po那串有統計兩名受害者的帳密

sharon1006 10/08 01:50在pc是唯一值，他們的資料是哪來的？

tinlans 10/08 01:51這種就有兩種可能性，一是木馬，現在很多

tinlans 10/08 01:51win7/xp 再戰十年、防毒軟體才是病毒的

tinlans 10/08 01:52言論，要看是不是這類型的人。

tinlans 10/08 01:52另一個可能性就比較不想在這講得太明，

tinlans 10/08 01:53比較含蓄的說法就是其實並非真的是唯一值

tinlans 10/08 01:55說真的前者可能性不低，短短這幾年就連

tinlans 10/08 01:55到處都在用的 OpenSSL 都淪陷數次，

tinlans 10/08 01:56敢在未更新的設備上執行金融交易也是很猛

tinlans 10/08 01:58系統更新時修補的漏洞有在看敘述的話，

tinlans 10/08 01:58有些會寫這次修補的漏洞是可以遠端讓本機

tinlans 10/08 01:58執行任意程式碼的。當然往年大多數這些漏

tinlans 10/08 01:59洞都有一些附加條件才能利用，不會廣範圍

tinlans 10/08 01:59無差別中獎，不過近五年的確是有那種不

tinlans 10/08 02:00需要條件就能隨便對你電腦上下其手的。

tinlans 10/08 02:01公用 WiFi 不要拿來登要帳號的網站這點

tinlans 10/08 02:01其實也是很多人做不到。

csieflyman 10/08 02:04我上面的推文有強調 如果資料外洩 受

csieflyman 10/08 02:04害者應該集中在 "全體使用者" 依儲值

csieflyman 10/08 02:04金額排序前幾名 我推測 pchome 應該是

csieflyman 10/08 02:04檢查出還有很多高儲值金額的人沒事

csieflyman 10/08 02:04 所以認為這只是駭客從手中有限名單過

csieflyman 10/08 02:04濾出的高儲值帳號而已 至於為何只有 p

csieflyman 10/08 02:04chome 出事? 那是因為這次駭客本來就

csieflyman 10/08 02:04鎖定 pchome 儲值這個資安弱點攻擊而

csieflyman 10/08 02:04已 並不代表其它網站沒出事 只是你不

csieflyman 10/08 02:04知道沒注意或沒上新聞而已

tinlans 10/08 02:06是的，其實很多真的沒上新聞或沒人關注

tinlans 10/08 02:07只是我很意外 PTT 兩年前才被大殺一波

tinlans 10/08 02:07但是對這次事件感覺就像第一次遇到一樣

tinlans 10/08 02:08蝦皮、露天、Y 拍等等的站台早玩過一輪了

csieflyman 10/08 02:08話說 momo 也很爛 我用手機 app 變更

csieflyman 10/08 02:08密碼輸入16位 結果登入頁檢查長度上

csieflyman 10/08 02:08限是15位 改了之後無法登入 還好我還

csieflyman 10/08 02:08有綁google帳號才能登入再改一次密碼

tinlans 10/08 02:09然後有時是網站不更新系統造成的漏洞，

tinlans 10/08 02:09所以密碼是唯一值還不夠，沒開 2FA 就是

tinlans 10/08 02:09最好定期修改，10 年前那個 Heartbleed

tinlans 10/08 02:10漏洞連唯一值但不修改密碼的帳號都通殺

tinlans 10/08 02:12其實台灣軟體業人員流動很快，有些整個原

tinlans 10/08 02:12團隊人馬都跑光了，新來的根本不知道前人

tinlans 10/08 02:12做了什麼，整天在四處解謎，就很容易看到

tinlans 10/08 02:13你說的這種 15、16 位數的白癡問題。

tinlans 10/08 02:15日本的 IT 慘業也差不多就是，你隨便註冊

tinlans 10/08 02:16一個帳號，修改 POST 到 API 的資料欄位

tinlans 10/08 02:16，居然可以傳回其它帳號的資料。UID 從

tinlans 10/08 02:161 掃到 999999 就大豐收。

tinlans 10/08 02:18這種都是當初作者想說先寫個能動的東西就

tinlans 10/08 02:19好，然後他就再也沒空回來補強了，也沒交

tinlans 10/08 02:19接給後面的人說這邊未來要補強。

csieflyman 10/08 02:20我自己定的密碼規則是包含密碼變更時

csieflyman 10/08 02:20間及網站簡稱 變更時間用來提醒過一陣

csieflyman 10/08 02:20子需要改密碼了 網站簡稱讓每個網站

csieflyman 10/08 02:20的密碼都不一樣 而且這個規則是我大

csieflyman 10/08 02:20腦記得起來的 不必特別死背 不過現在

csieflyman 10/08 02:20我已逐漸改用密碼管理器了

csieflyman 10/08 02:23萬一被公佈密碼 我從網站簡稱就知道大

csieflyman 10/08 02:23概何時是從那裡外洩出去的

tinlans 10/08 02:25老外更早被這招玩過，密碼管理軟體比較

tinlans 10/08 02:25流行，我大概是 2004 左右開始用 KeePass

tinlans 10/08 02:26，所以每半年到一年就會去查看看哪個網站

tinlans 10/08 02:27外流我密碼，因為都自動產生的必定唯一。

tinlans 10/08 02:28當時對岸很流行一個 Discuz! 論壇系統，

tinlans 10/08 02:28但是安全度爛得可以，以前還有個烏雲網

tinlans 10/08 02:29會不定期公開這系統漏洞，拿那些公開漏洞

tinlans 10/08 02:29就能拿 web shell，dump db 跟側錄登入框

tinlans 10/08 02:30這種事情整天都有人在玩。

spirit119 10/08 02:36樓上勾起了我的回憶

spirit119 10/08 02:37以前很常會看這些東西