Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

看板Lifeismoney (省錢)作者 (K~)時間2月前 (2024/10/08 16:41), 2月前編輯推噓59(623228)
留言293則, 81人參與, 2月前最新討論串6/6 (看更多)
為何這次高儲值用戶被連續盜用,會希望板友甚至民眾及媒體重視 是因為儲值的人是PCHOME上極少數的族群,可能幾萬個PCHOME使用者才有一個會儲值 會有幾十萬高額儲值的人更少,幾十萬PCHOME使用者才會有一個 現在PCHOME儲值沒優惠,很多都是從一年半前沒用完的慢慢使用剩下,所以更為少數 這次PCHOME事件,明顯是預謀犯案,挑10/2颱風天的晚間至隔日凌晨登入蒐集儲值金額 以及10/4週五下午至隔日凌晨開始盜用儲值購買點數卡,都是挑PCHOME資安放假時下手 --- 撞庫 從PTT至群組統計有十幾名儲值會員受害,聽起來好像被害數字很少 大家可以仔細思考看看,怎麼從10/2晚間幾個小時內,從1300萬個會員撞出這十幾個人 推測有兩個狀況 1. 這個帳密數據資料原本就是從PCHOME流出,正常資料庫內密碼都是加密過,是否有漏 洞被側錄封包明碼,還是內部IT有辦法解密人員竊出, 才有辦法在10/2 半天短時間內找出大多數高額儲值帳號。 2. 其他平台的資料庫明碼流出,或是多個平台的資料庫明碼流出,或者是大量被木馬側錄 的帳密,或是被釣魚網站釣魚的帳密,總之就是這些帳密清單的結合體。 躲避PCHOME的防撞庫機制,從PCHOME的一些舊登入頁面, 可以躲過有導入Recaptcha的新登入頁面,並使用VPN可以大量切換IP以防被BAN IP ,短時間幾小時正確登入這十多位受害者,也代表著這個資料庫也要是極大型的資料庫 且PCHOME在防撞庫的機制上有著極大漏洞,可以短時間進行大量撞擊測試。 撞庫可以是小事,也可以是大事,如數發部說的,去蒐集網路上的帳密跟資料去組合密碼 這種蒐集方式是亂槍打鳥,打了幾萬發看能不能打中一發,更不用說能打中這些高儲值, 搞不好能打中的儲值0,更不用說嫌犯早已經鎖定的銷贓管道,都挑國際版的XBOX點數, 甚至連裡面有存有一些實體通路電子序號都被用掉。 這次短時間精準盜用高儲值,就是代表著有一個極度精確的帳密資料庫在犯罪者手上, 這對台灣的資安危害是極高危險等級的,絕對不是一句撞庫所能帶過的。 不然這次儲值金總和搞不好都沒淹水淹掉一台高級車來得多,我也沒金額受損,何必 這麼重視? 這種資料庫的帳密,拿來登Google、登FB、登一些沒二次驗證機制甚至還綁定 點數的平台去竊取個資,姓名電話,訂單資訊跟收件資訊打來詐騙,不是每個平台都會馬 個資,這對全國大眾的危害到底多大,儲值金這兩三百萬小金額還是極小數。 我看資安專家、資安教授、官員這樣回答,我整個都涼了,還不是涼一半。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.3.56 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Lifeismoney/M.1728376876.A.9DA.html ※ 編輯: kadasaki (220.134.3.56 臺灣), 10/08/2024 16:46:02

10/08 16:48, 2月前 , 1F
從九月底開始試,一天有 86400 秒可以試
10/08 16:48, 1F

10/08 16:48, 2月前 , 2F
專業推,但有時候私利才會主導事件發展
10/08 16:48, 2F

10/08 16:48, 2月前 , 3F
試到十月初,當然是極大型資料庫。
10/08 16:48, 3F
to tinlans 這次被盜用登入,都是集中在10/2晚間四個小時內,信箱可以看到登入紀錄 多個人的信箱紀錄都是在10/2晚間9點到11點被登入。

10/08 16:50, 2月前 , 4F
我幫忙處理過的網站一天被登 20 幾萬筆,
10/08 16:50, 4F

10/08 16:50, 2月前 , 5F
平均一秒就能抄過一次嘗試。
10/08 16:50, 5F

10/08 16:51, 2月前 , 6F
10/08 16:51, 6F
※ 編輯: kadasaki (220.134.3.56 臺灣), 10/08/2024 16:52:27

10/08 16:54, 2月前 , 7F
網家:不用推測,無法證明,謝謝指教
10/08 16:54, 7F

10/08 16:55, 2月前 , 8F
前面懶人包有寫 9 月底就有跡象啊,要看
10/08 16:55, 8F

10/08 16:56, 2月前 , 9F
以下有沒有時間更早被登成功的受害者。
10/08 16:56, 9F

10/08 16:56, 2月前 , 10F
4 小時能試的規模是有點少。
10/08 16:56, 10F

10/08 16:58, 2月前 , 11F
九月底我是被登Google 不知是要幹嘛
10/08 16:58, 11F

10/08 16:59, 2月前 , 12F
可能是要測有沒有開2FA
10/08 16:59, 12F

10/08 17:00, 2月前 , 13F
這攻擊有個狠的地方是改 Google 信箱帳密
10/08 17:00, 13F

10/08 17:00, 2月前 , 14F
然後爬你註冊過的網站全部來一次找回密碼
10/08 17:00, 14F

10/08 17:00, 2月前 , 15F
,或者純收集這信箱註冊過的網站。
10/08 17:00, 15F

10/08 17:01, 2月前 , 16F
被登Google這三個信箱是只有註冊PCHOME
10/08 17:01, 16F

10/08 17:01, 2月前 , 17F
但這幾年 Google 加強驗證機制防堵住了。
10/08 17:01, 17F

10/08 17:01, 2月前 , 18F
撞庫哪那麼好撞 一秒超過一次好像很高頻
10/08 17:01, 18F

10/08 17:01, 2月前 , 19F
法院看的是證據不是推測
10/08 17:01, 19F

10/08 17:02, 2月前 , 20F
但得撞幾萬幾十萬次能有可能擊中一次
10/08 17:02, 20F

10/08 17:02, 2月前 , 21F
這個嫌犯連舊頁面沒Recaptcha都知道
10/08 17:02, 21F

10/08 17:02, 2月前 , 22F
我是不相信網家會存明碼,但真的有公司
10/08 17:02, 22F

10/08 17:02, 2月前 , 23F
密碼在存明碼的
10/08 17:02, 23F

10/08 17:03, 2月前 , 24F
之前某ktv的會員密碼忘記,他竟然能用
10/08 17:03, 24F

10/08 17:03, 2月前 , 25F
簡訊寄我的密碼,超神
10/08 17:03, 25F

10/08 17:03, 2月前 , 26F
用 botnet 去撞可以非常高頻,它切換 IP
10/08 17:03, 26F

10/08 17:04, 2月前 , 27F
的速度遠短於 VPN 切換 IP 的時間。
10/08 17:04, 27F

10/08 17:04, 2月前 , 28F
網家修改密碼都傳明碼了 懂的去試試吧..
10/08 17:04, 28F

10/08 17:04, 2月前 , 29F
另外覺得台灣法律是不是比較保護商家?
10/08 17:04, 29F

10/08 17:04, 2月前 , 30F
跟之前推的轉蛋法類似,出這種事都是要
10/08 17:04, 30F

10/08 17:04, 2月前 , 31F
消費者舉證,而非商家
10/08 17:04, 31F

10/08 17:04, 2月前 , 32F
我真的不知道怎麼吐槽,懂得用Console去
10/08 17:04, 32F

10/08 17:05, 2月前 , 33F
修改密碼後看一下封包長什麼樣 明碼..
10/08 17:05, 33F

10/08 17:05, 2月前 , 34F
表示很早就開始做研究吧,其實很多網站的
10/08 17:05, 34F

10/08 17:05, 2月前 , 35F
漏洞是來自於未撤下的舊頁面。
10/08 17:05, 35F

10/08 17:05, 2月前 , 36F
除非有很明確的字典給撞 不然哪可能那麼
10/08 17:05, 36F

10/08 17:06, 2月前 , 37F
看要不要找立委幫忙修個法,現在的法律真
10/08 17:06, 37F
還有 216 則推文
10/09 10:06, 2月前 , 254F
撞庫應該是真的,因為不管是各位的反應還
10/09 10:06, 254F

10/09 10:07, 2月前 , 255F
是事前準備到事發經過都是典型案例。但資
10/09 10:07, 255F

10/09 10:07, 2月前 , 256F
安很爛也是真的,這是 PC 難辭其咎的地方
10/09 10:07, 256F

10/09 10:11, 2月前 , 257F
。盜帳號高成功率、需要時間過濾有價值帳
10/09 10:11, 257F

10/09 10:12, 2月前 , 258F
號、不是邊嘗試登入邊交易、網站沒登入嘗
10/09 10:12, 258F

10/09 10:13, 2月前 , 259F
試防護,其實特徵都大致相符。
10/09 10:13, 259F

10/09 10:16, 2月前 , 260F
網站有漏洞 -> 不需要登帳號就能假造交易
10/09 10:16, 260F

10/09 10:17, 2月前 , 261F
資料庫外流密碼沒加密 -> 邊登邊交易就好
10/09 10:17, 261F

10/09 10:18, 2月前 , 262F
攻擊方需要花時間過濾清單,就代表他對手
10/09 10:18, 262F

10/09 10:18, 2月前 , 263F
上那份清單沒十足把握。
10/09 10:18, 263F

10/09 10:20, 2月前 , 264F
在有積分制度和 VIP 制度的論壇,撞庫造
10/09 10:20, 264F

10/09 10:20, 2月前 , 265F
成會出聲回報的受害者常常超過四成。
10/09 10:20, 265F

10/09 10:21, 2月前 , 266F
因為那邊有價值的帳號多,PC 比例相對少
10/09 10:21, 266F

10/09 10:23, 2月前 , 267F
某論壇要廢永久 VIP 也不全是因為站長貪
10/09 10:23, 267F

10/09 10:23, 2月前 , 268F
心,而是那些被撞成的 VIP 都變成公用租
10/09 10:23, 268F

10/09 10:23, 2月前 , 269F
賃帳號。
10/09 10:23, 269F

10/09 10:26, 2月前 , 270F
大家的反應也都是怎麼都撞永久 VIP 跟高
10/09 10:26, 270F

10/09 10:26, 2月前 , 271F
積分會員啊,但其實就是這招成功率本身高
10/09 10:26, 271F

10/09 10:27, 2月前 , 272F
,零失敗一次登成功的機率也是奇高。
10/09 10:27, 272F

10/09 10:28, 2月前 , 273F
因為有這種特性,沒經驗的站長通常第一時
10/09 10:28, 273F

10/09 10:29, 2月前 , 274F
間也是先自我懷疑是不是系統有漏洞跑來問
10/09 10:29, 274F

10/09 10:29, 2月前 , 275F
我,我去 nginx 開 POST log 看就是撞庫
10/09 10:29, 275F

10/09 10:31, 2月前 , 276F
。所以官司的方向不要打撞庫這點,沒有用
10/09 10:31, 276F

10/09 10:31, 2月前 , 277F
,PC 方只要舉證 access log 裡登入遠高
10/09 10:31, 277F

10/09 10:31, 2月前 , 278F
於正常在逛網站的次數,很容易就被採信。
10/09 10:31, 278F

10/09 10:32, 2月前 , 279F
打的方向要對,針對沒做好安全機制這點打
10/09 10:32, 279F

10/09 11:38, 2月前 , 280F
舉證責任在提告方,pchome只要針對提
10/09 11:38, 280F

10/09 11:39, 2月前 , 281F
出的證據進行反駁
10/09 11:39, 281F

10/09 11:45, 2月前 , 282F
能證明安全機制有問題,只有盜儲值
10/09 11:45, 282F

10/09 11:46, 2月前 , 283F
金的人,抓到他才有可能對pchome要求
10/09 11:46, 283F

10/09 11:46, 2月前 , 284F
賠償
10/09 11:46, 284F

10/09 12:55, 2月前 , 285F
https不夠 不知道有沒有做端點加密
10/09 12:55, 285F

10/09 12:55, 2月前 , 286F
不然輸的帳密一樣有可能被盜走
10/09 12:55, 286F

10/09 15:24, 2月前 , 287F
10/09 15:24, 287F

10/09 16:48, 2月前 , 288F
10/09 16:48, 288F

10/09 17:12, 2月前 , 289F
pchome現在鎖p幣及儲值金都無法買票券
10/09 17:12, 289F

10/09 21:58, 2月前 , 290F
pchome開始電話慰問+關切了 我看滿多人
10/09 21:58, 290F

10/09 21:58, 2月前 , 291F
都有接到電話的 好奇內容說了啥
10/09 21:58, 291F

10/09 22:31, 2月前 , 292F
好的 重罰 1萬
10/09 22:31, 292F

10/09 22:41, 2月前 , 293F
我刪了pchome的帳戶了,呵呵呵呵
10/09 22:41, 293F
文章代碼(AID): #1d1F0idQ (Lifeismoney)
文章代碼(AID): #1d1F0idQ (Lifeismoney)