PTT評價

Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

kadasaki 發表於 2024/10/8 下午4:41:14
看板Lifeismoney標題Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用作者
kadasaki
 (K~)時間推噓31 推:31 噓:0 →:129

為何這次高儲值用戶被連續盜用,會希望板友甚至民眾及媒體重視

是因為儲值的人是PCHOME上極少數的族群,可能幾萬個PCHOME使用者才有一個會儲值

會有幾十萬高額儲值的人更少,幾十萬PCHOME使用者才會有一個

現在PCHOME儲值沒優惠,很多都是從一年半前沒用完的慢慢使用剩下,所以更為少數

這次PCHOME事件,明顯是預謀犯案,挑10/2颱風天的晚間至隔日凌晨登入蒐集儲值金額

以及10/4週五下午至隔日凌晨開始盜用儲值購買點數卡,都是挑PCHOME資安放假時下手

---

撞庫

從PTT至群組統計有十幾名儲值會員受害,聽起來好像被害數字很少

大家可以仔細思考看看,怎麼從10/2晚間幾個小時內,從1300萬個會員撞出這十幾個人

推測有兩個狀況

1. 這個帳密數據資料原本就是從PCHOME流出,正常資料庫內密碼都是加密過,是否有漏洞被側錄封包明碼,還是內部IT有辦法解密人員竊出,
才有辦法在10/2 半天短時間內找出大多數高額儲值帳號。

2. 其他平台的資料庫明碼流出,或是多個平台的資料庫明碼流出,或者是大量被木馬側錄的帳密,或是被釣魚網站釣魚的帳密,總之就是這些帳密清單的結合體。

躲避PCHOME的防撞庫機制,從PCHOME的一些舊登入頁面,
可以躲過有導入Recaptcha的新登入頁面,並使用VPN可以大量切換IP以防被BAN IP
,短時間幾小時正確登入這十多位受害者,也代表著這個資料庫也要是極大型的資料庫
且PCHOME在防撞庫的機制上有著極大漏洞,可以短時間進行大量撞擊測試。

撞庫可以是小事,也可以是大事,如數發部說的,去蒐集網路上的帳密跟資料去組合密碼這種蒐集方式是亂槍打鳥,打了幾萬發看能不能打中一發,更不用說能打中這些高儲值,搞不好能打中的儲值0,更不用說嫌犯早已經鎖定的銷贓管道,都挑國際版的XBOX點數,甚至連裡面有存有一些實體通路電子序號都被用掉。

這次短時間精準盜用高儲值,就是代表著有一個極度精確的帳密資料庫在犯罪者手上,
這對台灣的資安危害是極高危險等級的,絕對不是一句撞庫所能帶過的。

不然這次儲值金總和搞不好都沒淹水淹掉一台高級車來得多,我也沒金額受損,何必
這麼重視?

這種資料庫的帳密,拿來登Google、登FB、登一些沒二次驗證機制甚至還綁定
點數的平台去竊取個資,姓名電話,訂單資訊跟收件資訊打來詐騙,不是每個平台都會馬個資,這對全國大眾的危害到底多大,儲值金這兩三百萬小金額還是極小數。

我看資安專家、資安教授、官員這樣回答,我整個都涼了,還不是涼一半。

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.3.56 (臺灣)
PTT 網址
※ 編輯: kadasaki (220.134.3.56 臺灣), 10/08/2024 16:46:02

tinlans 10/08 16:48從九月底開始試,一天有 86400 秒可以試

tandzh 10/08 16:48專業推,但有時候私利才會主導事件發展

tinlans 10/08 16:48試到十月初,當然是極大型資料庫。

to tinlans 這次被盜用登入,都是集中在10/2晚間四個小時內,信箱可以看到登入紀錄 多個人的信箱紀錄都是在10/2晚間9點到11點被登入。

tinlans 10/08 16:50我幫忙處理過的網站一天被登 20 幾萬筆,

tinlans 10/08 16:50平均一秒就能抄過一次嘗試。

tinlans 10/08 16:51

※ 編輯: kadasaki (220.134.3.56 臺灣), 10/08/2024 16:52:27

is1128 10/08 16:54網家:不用推測,無法證明,謝謝指教

tinlans 10/08 16:55前面懶人包有寫 9 月底就有跡象啊,要看

tinlans 10/08 16:56以下有沒有時間更早被登成功的受害者。

tinlans 10/08 16:564 小時能試的規模是有點少。

kadasaki 10/08 16:58九月底我是被登Google 不知是要幹嘛

kadasaki 10/08 16:59可能是要測有沒有開2FA

tinlans 10/08 17:00這攻擊有個狠的地方是改 Google 信箱帳密

tinlans 10/08 17:00然後爬你註冊過的網站全部來一次找回密碼

tinlans 10/08 17:00,或者純收集這信箱註冊過的網站。

kadasaki 10/08 17:01被登Google這三個信箱是只有註冊PCHOME

tinlans 10/08 17:01但這幾年 Google 加強驗證機制防堵住了。

iceyang 10/08 17:01撞庫哪那麼好撞 一秒超過一次好像很高頻

hsinyuan0104 10/08 17:01法院看的是證據不是推測

iceyang 10/08 17:02但得撞幾萬幾十萬次能有可能擊中一次

kadasaki 10/08 17:02這個嫌犯連舊頁面沒Recaptcha都知道

yummy8765 10/08 17:02我是不相信網家會存明碼,但真的有公司

yummy8765 10/08 17:02密碼在存明碼的

yummy8765 10/08 17:03之前某ktv的會員密碼忘記,他竟然能用

yummy8765 10/08 17:03簡訊寄我的密碼,超神

tinlans 10/08 17:03用 botnet 去撞可以非常高頻,它切換 IP

tinlans 10/08 17:04的速度遠短於 VPN 切換 IP 的時間。

kadasaki 10/08 17:04網家修改密碼都傳明碼了 懂的去試試吧..

yummy8765 10/08 17:04另外覺得台灣法律是不是比較保護商家?

yummy8765 10/08 17:04跟之前推的轉蛋法類似,出這種事都是要

yummy8765 10/08 17:04消費者舉證,而非商家

kadasaki 10/08 17:04我真的不知道怎麼吐槽,懂得用Console去

kadasaki 10/08 17:05修改密碼後看一下封包長什麼樣 明碼..

tinlans 10/08 17:05表示很早就開始做研究吧,其實很多網站的

tinlans 10/08 17:05漏洞是來自於未撤下的舊頁面。

iceyang 10/08 17:05除非有很明確的字典給撞 不然哪可能那麼

tinlans 10/08 17:06看要不要找立委幫忙修個法,現在的法律真

iceyang 10/08 17:06高效 真要這麼容易 不天天被侵入

tinlans 10/08 17:06的很有問題。

tinlans 10/08 17:07那不是字典,那是非常明確的帳密清單。

tinlans 10/08 17:07就是很明確的什麼帳號對什麼密碼,沒有猜

kadasaki 10/08 17:08所以最近TGO、hami才會這麼猖狂被盜

hsinyuan0104 10/08 17:10不是法律保護商家是大多數在加入註

hsinyuan0104 10/08 17:10冊Pchome時根本沒看相關條款

GiantChicken 10/08 17:10目的性這麼針對 會相信撞庫就好笑惹

tinlans 10/08 17:1015 年前這招就很流行了,只是當時跟詐騙

tinlans 10/08 17:11集團合作可以賺取更大利益,還不用驚動

tinlans 10/08 17:11平台,只是會有很多人指責平台賣他個資。

fonzae 10/08 17:11單一事件是可以說狀庫,但同一個系統發生

ccps9550217 10/08 17:11只能說以後不要在pchome買東西了

fonzae 10/08 17:11多起帳號登入成功,這不是撞庫

fonzae 10/08 17:12這比較像是人家掌握資料庫,經由比對出

fonzae 10/08 17:12實際帳號密碼,並且登入特定帳號進行竊取

ARCHER2234 10/08 17:12不管怎麼樣,平台就是沒有開強制二階

ARCHER2234 10/08 17:12段認證,笑死,一堆連一堆h小網站都

ARCHER2234 10/08 17:12有了

fonzae 10/08 17:14甚至資料庫有無使用有效Token導致也有可能

tinlans 10/08 17:14前兩年 PTT 被登+改密碼就是撞出來的,

tinlans 10/08 17:15這種攻擊就是很容易登成功非常多帳號。

acergame5 10/08 17:15本來會嫌momo登入麻煩 現在知道用心良

acergame5 10/08 17:15苦了

ARCHER2234 10/08 17:15ptt又沒有錢和票券,他家有欸

ARCHER2234 10/08 17:15富邦家族的公司就是特別龜毛,很怕被

ARCHER2234 10/08 17:15罰款或處理紛爭XD

tinlans 10/08 17:16其實 momo 登入那麼機車也是近期的事

tinlans 10/08 17:17會有這種改變都是觀測到類似攻擊才做的

ARCHER2234 10/08 17:17阿就是會怕了啊

Kazamatsuri 10/08 17:17卡板跟行動支付板會儲值的應該不少,

Kazamatsuri 10/08 17:17畢竟卡跟行動支付的回饋有算可以先

Kazamatsuri 10/08 17:17鎖住

ARCHER2234 10/08 17:18所以到底會賠嗎?還是pc要裝死

tinlans 10/08 17:18五到十年前還流行過盜拍賣網站帳號開賣場

allenp 10/08 17:18我PCHome的帳號郵件也在那幾天被嘗試登入

allenp 10/08 17:19沒儲值但覺得有問題

ARCHER2234 10/08 17:19你說的那個應該不只十年吧

kadasaki 10/08 17:20五六前年吧,我露天打開上架一堆怪東西

kadasaki 10/08 17:20七八年前我露天賣場還有在用

tinlans 10/08 17:21大量撞來開的差不多是這十年了

kadasaki 10/08 17:21這次PC被盜的有三組電話是最近兩年註冊

kadasaki 10/08 17:22三組電話只註冊過蝦皮、MOMO、PC

ARCHER2234 10/08 17:22總覺得是更早以前看到的XD

acergame5 10/08 17:22我9/30有被登入 但可能太窮酸所以沒影

acergame5 10/08 17:22

kadasaki 10/08 17:22只能這三家帳密清單都很大就是..

hijacker 10/08 17:23現在都https了吧 怎麼可能密碼是明碼傳

tinlans 10/08 17:25太有歷史的老站資料庫是存明文,跟 https

tinlans 10/08 17:25沒有關係,如果資料庫被盜就等於密碼外洩

tinlans 10/08 17:26,最好笑的是有些這種網站還會定期發密碼

tinlans 10/08 17:26到你信箱提醒你密碼是這組叫你別忘了。

dosiris 10/08 17:26P家的密碼不與其他網站共用就沒事了吧

dosiris 10/08 17:28P家因為常登錄 所以用比較好記的密碼

tinlans 10/08 17:28最好是所有網站都別共用密碼,全部獨立。

dosiris 10/08 17:28剛好就跟其他網站的密碼錯開

tinlans 10/08 17:29其實你光是在密碼後綴加個網站簡稱都能

tinlans 10/08 17:29避開這種攻擊,只是這樣教人也不好就是了

tinlans 10/08 17:32說真的這時代一般人懶駭客也懶,都直接買

tinlans 10/08 17:32什麼台灣 XX 筆帳號密碼這種「商品」,

tinlans 10/08 17:33寫個程式讀檔瘋狂貼到 login 頁面而已。

puritylife 10/08 17:35momo應該是也是有被搞才改的登入這麼

puritylife 10/08 17:36煩人吧 是真的會讓人不爽的煩

puritylife 10/08 17:36pc九月就開始被搞 還完全沒反應

puritylife 10/08 17:36這就真的太搞笑了 他們it部門是死了嗎

HowLeeHi 10/08 17:38可能用rockyou2024

puritylife 10/08 17:41我所有帳號密碼都不同 是沒被登

puritylife 10/08 17:42倒是微軟帳號PS帳號常常有被試的通知

ARCHER2234 10/08 17:42用常用代碼組合就好了,忘記就自己重

ARCHER2234 10/08 17:42新排列一下

ARCHER2234 10/08 17:43這不是很簡單的事咩

s0920151048 10/08 17:47社交工程的機會很高啊

tinlans 10/08 17:50典型懶惰的撞法就長這樣,沒過濾清單裡重

tinlans 10/08 17:50重複資料,遇到空白行還會送空白帳密:

tinlans 10/08 17:50https://i.imgur.com/htScOTM.png

puritylife 10/08 17:51當然是交給密碼軟體管 哪記得了這麼多

puritylife 10/08 17:52記一個google跟一個apple id跟一個裝

puritylife 10/08 17:52置密碼 其他就給軟體管吧

k798976869 10/08 17:52痾 是在撞啥庫 擺明資料庫被駭

k798976869 10/08 17:56然後又有啥injection 漏洞 都不用登入

k798976869 10/08 17:56就駭光惹

zzzzzlss 10/08 17:59Pc要全陪的話會直接倒吧?

chinaeatshit 10/08 18:00PC家:我的股價證明了你們太多慮

brianuser 10/08 18:00用戶不會有證據他們也不會承認有疏失

david0426 10/08 18:09這我覺得應該有字典了 table搞不好都

david0426 10/08 18:09建好 我肯定不只pc 其他電商趕緊資安

david0426 10/08 18:09上修吧

xfaw4d35t 10/08 18:18開console看到明碼很正常 走TLS會加密

tinlans 10/08 18:19要想辦法說動主管機關統一要求會比較好

tinlans 10/08 18:19因為你一家登入購物麻煩,消費者會去別家

tinlans 10/08 18:21但不得不說 PC 是幾大間裡最晚加強資安的

tinlans 10/08 18:27說到 https,10 年前就沒改過密碼的最好

tinlans 10/08 18:27也改個新的,天知道 PC 在 CVE-2014-0160

tinlans 10/08 18:27公布多久以後才更新伺服器。

a0913 10/08 18:45pc股價沒崩

qqqlll666 10/08 18:50封包明文? 他們不可能還在用http吧

uegajde 10/08 19:01被懷疑明文儲存的部分是資料庫的部分啦

uegajde 10/08 19:01,不過我也不太能相信會有這種低級錯誤

leotompp 10/08 19:03跟10年前天1一樣...卡登2分鐘裝全光

tdtb12 10/08 19:04console明碼不是很正常嗎

za755029 10/08 19:12上次用子公司發聲明就已經建好輿論防火

za755029 10/08 19:12牆了

diogofseixas 10/08 19:18我好幾個帳號被改密碼,但沒通知

nrsair 10/08 19:20糟糕

panda04056 10/08 19:21Pchome 前後端的薪資多少 只找猴子也

panda04056 10/08 19:21別怪人

Kapenza 10/08 19:25推一下 數發部要定調成撞庫,事實上撞庫

Kapenza 10/08 19:26這個解釋下存在的問題更是超級大吧...

kadasaki 10/08 19:30PCHOME在登入 帳密是加密的

kadasaki 10/08 19:30修改頁面 是用明碼未加密 雖然https

kadasaki 10/08 19:31就是是定義撞庫才是超級大問題

kadasaki 10/08 19:31但看起來他們好像 撞庫啦 沒事啦

nisioisin 10/08 19:36雖然跟這件事無關 但62樓 台哥大被罰

nisioisin 10/08 19:36了幾次 超皮的哪有怕

ClixTW 10/08 19:37好奇有沒有受害者是用亂數產生的密碼?

ClixTW 10/08 19:37有的話就不會是撞庫了

Or3 10/08 19:42我覺得應該要問一下是否有人高儲值卻沒被盜

Or3 10/08 19:42這樣撞庫這件事才成立 要不然我真的太黑暗了

finhisky 10/08 19:50告民事求償,pchome要舉證證明是撞庫才

finhisky 10/08 19:50可以免賠,除非pc可以提出登入紀錄證明

finhisky 10/08 19:50不是撞出來的

niou 10/08 20:08高調

baibai222 10/08 20:22我裡面有儲7萬多,太少所以沒事…
同系列文章
[討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用
其他人也閱讀了
PTT 熱門相關
Lifeismoney最新熱門推薦
🔥🔥🔥