Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

省錢

792815

風傳媒也報導了,數發部問過pchome
應該也是定調了,最少政府有注意到這個事件了就是
麻煩你們各位使用者,密碼不要都完全一樣啊

https://reurl.cc/adA6j3


立委關注民眾反映網購平台帳戶被盜用,個人儲值金遭用光。
數發部今天表示,駭客採撞庫

,蒐集已被公開揭露的個人資訊,到各家網站測試登入,業者已把用戶登出、重新登入驗
證,呼籲民眾密碼應採多種驗證方式,避免被盜用。


立法院交通委員會今天邀數發部長黃彥男、國家通訊傳播委員會(NCC)代理主委翁柏宗、
行政院打擊詐欺指揮中心、法務部、內政部警政署、金管會就「我國打詐成效與防制」進行
專題報告,並備質詢。
Pchome被盜「用戶儲值金被用光」
民進黨立委李昆澤質詢時提到,最近有知名網路購物平台遭民眾質疑使用者資料庫被盜,民
眾帳戶儲值金被用光,數發部是否有協助平台加強個資防護與因應。

數發部數位產業署副署長林俊秀表示,已經跟業者聯繫,駭客採用撞庫攻擊,在網站上蒐集

已經被公開揭露的個人資訊,到各家網站測試,運用自動化技術可以大量測試,有些消費者

可能在多個網站都使用同一組密碼,因此駭客很常有機會可以闖關登入成功。


Pchome緊急處理!數發部籲:多重驗證更安全
林俊秀會中受訪時指出,Pchome有發現這個狀況,目前業者是先把有使用儲值金者先登出,
再請當事人重新登入、透過OTP(一次性動態密碼)再次驗證,再請當事人修改密碼,避免
類似狀況發生。
黃彥男表示,相關狀況都有掌握,現在有很多技術可以防止密碼被盜用,民眾應該要啟用多
因子驗證,除了密碼之外,還要啟動第二個、第三個驗證,像是簡訊等方式,才能避免類似
狀況發生。
: 昨日晚間密集發生
: 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡
: 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券
: 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google
: 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼
: 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號,目前是0
: 所以比較疑似是備份的資料庫被盜
: 平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意
: 儲值幾千上萬的都會被盯上,記得打開儲值使用驗證設定啟用
: PC這次疑似是整個資料庫外洩,連儲值金多寡都有,更不用說個資
: *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC,這樣PC至少要被撞幾百萬筆
: *但驗證了五個受害者六個帳號,其中有兩個PC跟MOMO密碼不同,有兩個蝦皮跟PC不同
: PC還沒把這些點數型商品禁止使用儲值,請注意自己的信箱有沒有被登入紀錄或是
: 收到驗證碼紀錄
: PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制,但仍無法有效阻擋被登入
: 似乎舊版的登入頁面有漏洞不用二次驗證,或是COOKIE已經紀錄登入資訊。
: 推測PCHOME流出的資料不是目前最新的資料,而是幾個月前的資料庫,也許是備份的
: 資料庫,因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的
: 帳號,許多目前儲值是0仍被嘗試登入,就表示是看幾個月前的儲值量去排序儲值登入
: ----

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.203.216 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Lifeismoney/M.1728291278.A.E5C.html
dastinc1樓數發部用了一堆沒資訊背景的地政職系公 10/07 16:58
dastinc2樓務員 都不知道在幹嘛 笑死 10/07 16:58
trashcan05123樓有當過國策顧問的董事長真好 政府 10/07 16:58
trashcan05124樓都幫忙講話 10/07 16:58
acetylation5樓數發部只能呼籲嗎? 10/07 16:59
stark55666樓連數發部都出來幫忙洗地 10/07 17:04
justbefriend7樓不然數位部能幹嘛 10/07 17:05
Porops8樓簡訊作為2FA根本就不是一個安全的選項, 10/07 17:07
Porops9樓別再推行簡訊2FA了 10/07 17:07
HarukaLoveu10樓所以為何只有PCHOME出事?結論是? 10/07 17:17
jimhall11樓不用簡訊要用什麼 10/07 17:17
alan699912樓有政府好安心檢討受害者最會 10/07 17:17
lionel2000213樓党幫忙洗地 10/07 17:21
kadasaki14樓我可以接受是撞庫攻擊呀,但是誰的資料 10/07 17:23
kadasaki15樓庫,是PCHOME資料庫撞PCHOME資料庫? 10/07 17:24
kadasaki16樓是撞庫就不用調查嗎? 10/07 17:24
Porops17樓就算以email做2FA都比簡訊安全,不用簡訊 10/07 17:25
Porops18樓選項還有很多好嗎,透過Google Authentic 10/07 17:25
Porops19樓ator就是一般網站都能做到又安全又方便的 10/07 17:25
Porops20樓2FA,也有很多網站如Steam的2FA會做在自 10/07 17:25
Porops21樓己的APP上,google或facebook因為滲透率 10/07 17:25
Porops22樓高所以可以採用直接按個是就登入成功那也 10/07 17:25
Porops23樓是一種2FA,對於網家這種規模來說這只是 10/07 17:25
Porops24樓要不要做而已,根本就是圖方便不做 10/07 17:25
sheng7631425樓數發部是出國的 10/07 17:25
kadasaki26樓能這樣撞PCHOME的資料庫的資料規模有多 10/07 17:27
kadasaki27樓大,才是需要探討調查的 10/07 17:28
nisioisin28樓前面有說一些人是只在PChome弄那組帳 10/07 17:28
nisioisin29樓密,不知道哪的庫這麼厲害能撞到 10/07 17:28
kadasaki30樓下次我偷吃被老婆抓我也說是撞庫好了 10/07 17:30