作者 gv390 (我討厭我喜歡妳)標題 Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用時間 Mon Oct 7 16:54:35 2024
風傳媒也報導了,數發部問過pchome
應該也是定調了,最少政府有注意到這個事件了就是
麻煩你們各位使用者,密碼不要都完全一樣啊
https://reurl.cc/adA6j3
立委關注民眾反映網購平台帳戶被盜用,個人儲值金遭用光。數發部今天表示,駭客採撞庫
擊,蒐集已被公開揭露的個人資訊,到各家網站測試登入,業者已把用戶登出、重新登入驗
證,呼籲民眾密碼應採多種驗證方式,避免被盜用。
立法院交通委員會今天邀數發部長黃彥男、國家通訊傳播委員會(NCC)代理主委翁柏宗、
行政院打擊詐欺指揮中心、法務部、內政部警政署、金管會就「我國打詐成效與防制」進行
專題報告,並備質詢。
Pchome被盜「用戶儲值金被用光」
民進黨立委李昆澤質詢時提到,最近有知名網路購物平台遭民眾質疑使用者資料庫被盜,民
眾帳戶儲值金被用光,數發部是否有協助平台加強個資防護與因應。
數發部數位產業署副署長林俊秀表示,已經跟業者聯繫,駭客採用撞庫攻擊,在網站上蒐集
已經被公開揭露的個人資訊,到各家網站測試,運用自動化技術可以大量測試,有些消費者
可能在多個網站都使用同一組密碼,因此駭客很常有機會可以闖關登入成功。
Pchome緊急處理!數發部籲:多重驗證更安全
林俊秀會中受訪時指出,Pchome有發現這個狀況,目前業者是先把有使用儲值金者先登出,
再請當事人重新登入、透過OTP(一次性動態密碼)再次驗證,再請當事人修改密碼,避免
類似狀況發生。
黃彥男表示,相關狀況都有掌握,現在有很多技術可以防止密碼被盜用,民眾應該要啟用多
因子驗證,除了密碼之外,還要啟動第二個、第三個驗證,像是簡訊等方式,才能避免類似
狀況發生。
※ 引述《kadasaki (K~)》之銘言:
: 昨日晚間密集發生
: 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡
: 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券
: 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google
: 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼
: 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號,目前是0
: 所以比較疑似是備份的資料庫被盜
: 平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意
: 儲值幾千上萬的都會被盯上,記得打開儲值使用驗證設定啟用
: PC這次疑似是整個資料庫外洩,連儲值金多寡都有,更不用說個資
: *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC,這樣PC至少要被撞幾百萬筆
: *但驗證了五個受害者六個帳號,其中有兩個PC跟MOMO密碼不同,有兩個蝦皮跟PC不同
: PC還沒把這些點數型商品禁止使用儲值,請注意自己的信箱有沒有被登入紀錄或是
: 收到驗證碼紀錄
: PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制,但仍無法有效阻擋被登入
: 似乎舊版的登入頁面有漏洞不用二次驗證,或是COOKIE已經紀錄登入資訊。
: 推測PCHOME流出的資料不是目前最新的資料,而是幾個月前的資料庫,也許是備份的
: 資料庫,因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的
: 帳號,許多目前儲值是0仍被嘗試登入,就表示是看幾個月前的儲值量去排序儲值登入
: ----
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.203.216 (臺灣)
※ 作者: gv390 2024-10-07 16:54:35
※ 文章代碼(AID): #1d0w7EvS (Lifeismoney)
※ 文章網址: https://www.ptt.cc/bbs/Lifeismoney/M.1728291278.A.E5C.html
※ 同主題文章:
Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用
10-07 16:54 gv390
推 dastinc: 數發部用了一堆沒資訊背景的地政職系公務員 都不知道在幹嘛 笑死1F 220.133.45.190 台灣 10/07 16:58
推 trashcan0512: 有當過國策顧問的董事長真好 政府都幫忙講話3F 42.73.162.32 台灣 10/07 16:58
→ acetylation: 數發部只能呼籲嗎?5F 114.39.201.250 台灣 10/07 16:59
推 stark5566: 連數發部都出來幫忙洗地6F 36.227.111.64 台灣 10/07 17:04
噓 Porops: 簡訊作為2FA根本就不是一個安全的選項,別再推行簡訊2FA了8F 114.34.5.66 台灣 10/07 17:07
推 HarukaLoveu: 所以為何只有PCHOME出事?結論是?10F 180.217.232.135 台灣 10/07 17:17
推 jimhall: 不用簡訊要用什麼11F 42.72.120.207 台灣 10/07 17:17
噓 alan6999: 有政府好安心檢討受害者最會12F 111.242.77.13 台灣 10/07 17:17
→ kadasaki: 我可以接受是撞庫攻擊呀,但是誰的資料庫,是PCHOME資料庫撞PCHOME資料庫?
是撞庫就不用調查嗎?14F 125.228.251.20 台灣 10/07 17:23
→ Porops: 就算以email做2FA都比簡訊安全,不用簡訊選項還有很多好嗎,透過Google Authenticator就是一般網站都能做到又安全又方便的2FA,也有很多網站如Steam的2FA會做在自己的APP上,google或facebook因為滲透率高所以可以採用直接按個是就登入成功那也是一種2FA,對於網家這種規模來說這只是要不要做而已,根本就是圖方便不做17F 114.34.5.66 台灣 10/07 17:25
→ sheng76314: 數發部是出國的25F 114.47.1.140 台灣 10/07 17:25
→ kadasaki: 能這樣撞PCHOME的資料庫的資料規模有多大,才是需要探討調查的26F 125.228.251.20 台灣 10/07 17:27
推 nisioisin: 前面有說一些人是只在PChome弄那組帳密,不知道哪的庫這麼厲害能撞到28F 223.137.128.12 台灣 10/07 17:28
→ kadasaki: 下次我偷吃被老婆抓我也說是撞庫好了30F 125.228.251.20 台灣 10/07 17:30
→ SSSONIC: 所以人抓到沒?31F 1.160.95.156 台灣 10/07 17:33
→ kadasaki: 在網站上蒐集已經被公開揭露的個人資訊你們各位是不是都把帳密刊在網路上?32F 125.228.251.20 台灣 10/07 17:34
推 Kingsman: 笑死,一樓專業喔,資訊處理職系去數發部過完水就跑回原單位降調了啦。不過我還是要說,民間說撞庫你就真的相信撞庫,就是規避企業產生信任機制的一環,說好履約保證履到哪去?你儲值開驗證也沒辦法阻止P幣、Hami跟環保綠點直接被抵用掉。Pchome如果覺得自己是無辜第三人完全不需任何行政責任,那就最好跟中華電信被盜用一樣有點屁股,把月結的點數卡止付後,返還被害人。而不是在那邊什麼等偵查隊來調卷,阿你一個平台責任就是看著消費者透過介接你的平台,連中華電信的點數都一起被吃掉喔!?34F 61.219.98.151 台灣 10/07 17:44
→ uegajde: 希望數位部在背書前能說明一下他們做了什麼查證還有監督的工作、看到什麼,所以才背書,不然這文看起來就像他們單純對網家說法照單全收,那就幾乎是瀆職了更正:數位部→數發部47F 39.9.32.137 台灣 10/07 17:46
噓 COSMED2021: 鄉民出一張嘴都怪別人最棒了,哈佛學生改Meta智慧眼鏡上路每個人的個資都看的到,很多人都愛把個資在網路上炫耀公布然後可能的帳號密碼就被程式抓出來撞會很難嗎?52F 101.9.203.228 台灣 10/07 17:56
推 Kingsman: 數發部畢竟就中央單位,處理過就當我已經處理了,不然就是把這個當成一般消保爭議案件往地方丟結束,沒有很期待他有什麼厲害的作為。但是Pchome想定調成個案這點我是很不認同的,你真的一點責任都沒有?57F 223.137.109.212 台灣 10/07 17:58
噓 COSMED2021: 你們被盜的全都報案去,再哪只會怪別人有什麼用,像高鐵點數不就抓一個了,資訊安全要靠自己,不然為甚啥是你被盜不是別人?63F 101.9.203.228 台灣 10/07 17:59
→ ABA0525: 可憐
怕被告賠錢67F 42.77.98.230 台灣 10/07 18:01
噓 COSMED2021: 不是個案你們就跟直銷被倒會一樣組自救會啊,每天都網路傳言,組自救會提團體訴訟啊,看有多少人,是不是個案啊69F 101.9.203.228 台灣 10/07 18:01
噓 mmchen: 犯人保護網正常運作73F 39.15.17.195 台灣 10/07 18:09
噓 waitu0526: 撞庫?笑死74F 42.73.138.249 台灣 10/07 18:15
推 doom3: 可以被撞到一堆災情 要馬沒在防要馬庫外洩75F 218.164.156.10 台灣 10/07 18:25
→ speedythief: 大家都知你pchome老大有方法可提前打疫苗76F 122.121.206.20 台灣 10/07 18:28
推 wangno77: 餅叔不熟78F 49.216.222.127 台灣 10/07 18:33
→ dickstar: 只撞高儲值用戶,厲害79F 61.227.113.130 台灣 10/07 18:44
→ csieflyman: 如果數發部沒有權限進到 pchome 稽查 現在業者也已有作為不會再發生 監管只能要求業者交報告 未來頂多制定資安規範罰錢吧 所以受害者還是要報案 透過司法途徑解決才能求償80F 122.116.111.118 台灣 10/07 18:50
→ GiantChicken: 這個好笑 明明就是超針對的盜帳85F 1.163.51.116 台灣 10/07 19:15
推 now99: 啟用passKey不就好,露天都可以86F 223.137.187.3 台灣 10/07 19:49
推 jimhall: 笑死 怪顧客就好87F 42.72.120.207 台灣 10/07 19:51
推 KuwaK: 超厲害 只撞高儲值金的88F 39.15.33.236 台灣 10/07 19:55
→ csieflyman: 如果駭客真的拿到高儲值名單 那受害者應該集中在 "全體使用者" 依儲值金額高低排序的前幾名名單中 金額至少應該都是數萬元起跳 因為金額大一定會報警 所以報案人數應該有不少人89F 122.116.111.118 台灣 10/07 20:07
→ flypenguin: 要修法把經濟部的監管權限轉移都被擋是能期待數發部做什麼,沒有法律授權他也只能打打嘴炮不能實質干涉94F 118.161.21.204 台灣 10/07 20:09
推 Kingsman: 反正個資保護委員會也還在籌備,這種裁罰權責不明的期間不用想誰會出來當主事者,只會說權責並非本部。相關與我身邊的人一同進行的行政程序,在還沒明確結論前就不跟Ptt噓文檢討被害的傢伙贅述了,我應該不需要噓文的指導,但我就看要累積幾個案件處理編號,他們才會覺得不是個案。反正已經有心理准備這些會是不斷移文跟併案的過程了,準備點耐心就是。97F 223.137.109.212 台灣 10/07 20:24
→ lukedoomer: 不同意簡訊比EMAIL安全
整天有人幻想簡訊不安全
舉那些用email驗證的網站例子 一堆只是平台單純不願意花簡訊費用罷了277F 1.173.76.227 台灣 10/08 08:32
噓 SHENG2014: 數發部不就按Pchome給的稿發而已。
高儲值用戶都用身份證及生日當密碼嗎281F 106.64.160.27 台灣 10/08 09:45
噓 keerily: 數發部真的一點屁用都沒有283F 60.251.199.140 台灣 10/08 10:40
--