Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

省錢

133613


為何這次高儲值用戶被連續盜用,會希望板友甚至民眾及媒體重視

是因為儲值的人是PCHOME上極少數的族群,可能幾萬個PCHOME使用者才有一個會儲值

會有幾十萬高額儲值的人更少,幾十萬PCHOME使用者才會有一個

現在PCHOME儲值沒優惠,很多都是從一年半前沒用完的慢慢使用剩下,所以更為少數

這次PCHOME事件,明顯是預謀犯案,挑10/2颱風天的晚間至隔日凌晨登入蒐集儲值金額

以及10/4週五下午至隔日凌晨開始盜用儲值購買點數卡,都是挑PCHOME資安放假時下手

---

撞庫

從PTT至群組統計有十幾名儲值會員受害,聽起來好像被害數字很少

大家可以仔細思考看看,怎麼從10/2晚間幾個小時內,從1300萬個會員撞出這十幾個人

推測有兩個狀況

1. 這個帳密數據資料原本就是從PCHOME流出,正常資料庫內密碼都是加密過,是否有漏
洞被側錄封包明碼,還是內部IT有辦法解密人員竊出,
才有辦法在10/2 半天短時間內找出大多數高額儲值帳號。

2. 其他平台的資料庫明碼流出,或是多個平台的資料庫明碼流出,或者是大量被木馬側錄
的帳密,或是被釣魚網站釣魚的帳密,總之就是這些帳密清單的結合體。

躲避PCHOME的防撞庫機制,從PCHOME的一些舊登入頁面,
可以躲過有導入Recaptcha的新登入頁面,並使用VPN可以大量切換IP以防被BAN IP
,短時間幾小時正確登入這十多位受害者,也代表著這個資料庫也要是極大型的資料庫
且PCHOME在防撞庫的機制上有著極大漏洞,可以短時間進行大量撞擊測試。

撞庫可以是小事,也可以是大事,如數發部說的,去蒐集網路上的帳密跟資料去組合密碼
這種蒐集方式是亂槍打鳥,打了幾萬發看能不能打中一發,更不用說能打中這些高儲值,
搞不好能打中的儲值0,更不用說嫌犯早已經鎖定的銷贓管道,都挑國際版的XBOX點數,
甚至連裡面有存有一些實體通路電子序號都被用掉。

這次短時間精準盜用高儲值,就是代表著有一個極度精確的帳密資料庫在犯罪者手上,
這對台灣的資安危害是極高危險等級的,絕對不是一句撞庫所能帶過的。

不然這次儲值金總和搞不好都沒淹水淹掉一台高級車來得多,我也沒金額受損,何必
這麼重視?

這種資料庫的帳密,拿來登Google、登FB、登一些沒二次驗證機制甚至還綁定
點數的平台去竊取個資,姓名電話,訂單資訊跟收件資訊打來詐騙,不是每個平台都會馬
個資,這對全國大眾的危害到底多大,儲值金這兩三百萬小金額還是極小數。

我看資安專家、資安教授、官員這樣回答,我整個都涼了,還不是涼一半。

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.3.56 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Lifeismoney/M.1728376876.A.9DA.html
tinlans1樓從九月底開始試,一天有 86400 秒可以試 10/08 16:48
tandzh2樓專業推,但有時候私利才會主導事件發展 10/08 16:48
tinlans3樓試到十月初,當然是極大型資料庫。 10/08 16:48
to tinlans 這次被盜用登入,都是集中在10/2晚間四個小時內,信箱可以看到登入紀錄 多個人的信箱紀錄都是在10/2晚間9點到11點被登入。
tinlans4樓我幫忙處理過的網站一天被登 20 幾萬筆, 10/08 16:50
tinlans5樓平均一秒就能抄過一次嘗試。 10/08 16:50
tinlans6樓 10/08 16:51
is11287樓網家:不用推測,無法證明,謝謝指教 10/08 16:54
tinlans8樓前面懶人包有寫 9 月底就有跡象啊,要看 10/08 16:55
tinlans9樓以下有沒有時間更早被登成功的受害者。 10/08 16:56
tinlans10樓4 小時能試的規模是有點少。 10/08 16:56
本人11樓九月底我是被登Google 不知是要幹嘛 10/08 16:58
本人12樓可能是要測有沒有開2FA 10/08 16:59
tinlans13樓這攻擊有個狠的地方是改 Google 信箱帳密 10/08 17:00
tinlans14樓然後爬你註冊過的網站全部來一次找回密碼 10/08 17:00
tinlans15樓,或者純收集這信箱註冊過的網站。 10/08 17:00
本人16樓被登Google這三個信箱是只有註冊PCHOME 10/08 17:01
tinlans17樓但這幾年 Google 加強驗證機制防堵住了。 10/08 17:01
iceyang18樓撞庫哪那麼好撞 一秒超過一次好像很高頻 10/08 17:01
hsinyuan010419樓法院看的是證據不是推測 10/08 17:01
iceyang20樓但得撞幾萬幾十萬次能有可能擊中一次 10/08 17:02
本人21樓這個嫌犯連舊頁面沒Recaptcha都知道 10/08 17:02
yummy876522樓我是不相信網家會存明碼,但真的有公司 10/08 17:02
yummy876523樓密碼在存明碼的 10/08 17:02
yummy876524樓之前某ktv的會員密碼忘記,他竟然能用 10/08 17:03
yummy876525樓簡訊寄我的密碼,超神 10/08 17:03
tinlans26樓用 botnet 去撞可以非常高頻,它切換 IP 10/08 17:03
tinlans27樓的速度遠短於 VPN 切換 IP 的時間。 10/08 17:04
本人28樓網家修改密碼都傳明碼了 懂的去試試吧.. 10/08 17:04
yummy876529樓另外覺得台灣法律是不是比較保護商家? 10/08 17:04
yummy876530樓跟之前推的轉蛋法類似,出這種事都是要 10/08 17:04