風傳媒也報導了,數發部問過pchome 應該也是定調了,最少政府有注意到這個事件了就是 麻煩你們各位使用者,密碼不要都完全一樣啊 https://reurl.cc/adA6j3 立委關注民眾反映網購平台帳戶被盜用,個人儲值金遭用光。數發部今天表示,駭客採撞庫 ,蒐集已被公開揭露的個人資訊,到各家網站測試登入,業者已把用戶登出、重新登入驗 證,呼籲民眾密碼應採多種驗證方式,避免被盜用。 立法院交通委員會今天邀數發部長黃彥男、國家通訊傳播委員會(NCC)代理主委翁柏宗、 行政院打擊詐欺指揮中心、法務部、內政部警政署、金管會就「我國打詐成效與防制」進行 專題報告,並備質詢。 Pchome被盜「用戶儲值金被用光」 民進黨立委李昆澤質詢時提到,最近有知名網路購物平台遭民眾質疑使用者資料庫被盜,民 眾帳戶儲值金被用光,數發部是否有協助平台加強個資防護與因應。 數發部數位產業署副署長林俊秀表示,已經跟業者聯繫,駭客採用撞庫攻擊,在網站上蒐集 已經被公開揭露的個人資訊,到各家網站測試,運用自動化技術可以大量測試,有些消費者 可能在多個網站都使用同一組密碼,因此駭客很常有機會可以闖關登入成功。 Pchome緊急處理!數發部籲:多重驗證更安全 林俊秀會中受訪時指出,Pchome有發現這個狀況,目前業者是先把有使用儲值金者先登出, 再請當事人重新登入、透過OTP(一次性動態密碼)再次驗證,再請當事人修改密碼,避免 類似狀況發生。 黃彥男表示,相關狀況都有掌握,現在有很多技術可以防止密碼被盜用,民眾應該要啟用多 因子驗證,除了密碼之外,還要啟動第二個、第三個驗證,像是簡訊等方式,才能避免類似 狀況發生。 ※ 引述《kadasaki (K~)》之銘言: : 昨日晚間密集發生 : 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡 : 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券 : 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google : 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼 : 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號,目前是0 : 所以比較疑似是備份的資料庫被盜 : 平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意 : 儲值幾千上萬的都會被盯上,記得打開儲值使用驗證設定啟用 : PC這次疑似是整個資料庫外洩,連儲值金多寡都有,更不用說個資 : *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC,這樣PC至少要被撞幾百萬筆 : *但驗證了五個受害者六個帳號,其中有兩個PC跟MOMO密碼不同,有兩個蝦皮跟PC不同 : PC還沒把這些點數型商品禁止使用儲值,請注意自己的信箱有沒有被登入紀錄或是 : 收到驗證碼紀錄 : PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制,但仍無法有效阻擋被登入 : 似乎舊版的登入頁面有漏洞不用二次驗證,或是COOKIE已經紀錄登入資訊。 : 推測PCHOME流出的資料不是目前最新的資料,而是幾個月前的資料庫,也許是備份的 : 資料庫,因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的 : 帳號,許多目前儲值是0仍被嘗試登入,就表示是看幾個月前的儲值量去排序儲值登入 : ---- -- ※ 發信站: 批踢踢實業坊(web-ptt.tw), 來自: 114.33.203.216 (臺灣) ※ 文章網址: https://web-ptt.tw/Lifeismoney/M.1728291278.A.E5C
dastinc: 數發部用了一堆沒資訊背景的地政職系公 220.133.45.190 10/07 16:58
dastinc: 務員 都不知道在幹嘛 笑死 220.133.45.190 10/07 16:58
trashcan0512: 有當過國策顧問的董事長真好 政府 42.73.162.32 10/07 16:58
trashcan0512: 都幫忙講話 42.73.162.32 10/07 16:58
acetylation: 數發部只能呼籲嗎? 114.39.201.250 10/07 16:59
laetuon: 交男友跟包養有什麼差別 114.39.201.250 10/07 16:59
stark5566: 連數發部都出來幫忙洗地 36.227.111.64 10/07 17:04
justbefriend: 不然數位部能幹嘛 59.115.12.60 10/07 17:05
Porops: 簡訊作為2FA根本就不是一個安全的選項, 114.34.5.66 10/07 17:07
Porops: 別再推行簡訊2FA了 114.34.5.66 10/07 17:07
HarukaLoveu: 所以為何只有PCHOME出事?結論是?180.217.232.135 10/07 17:17
slot365: 包養網到底在紅什麼?180.217.232.135 10/07 17:17
jimhall: 不用簡訊要用什麼 42.72.120.207 10/07 17:17
alan6999: 有政府好安心檢討受害者最會 111.242.77.13 10/07 17:17
lionel20002: 党幫忙洗地 223.138.57.95 10/07 17:21
kadasaki: 我可以接受是撞庫攻擊呀,但是誰的資料 125.228.251.20 10/07 17:23
kadasaki: 庫,是PCHOME資料庫撞PCHOME資料庫? 125.228.251.20 10/07 17:24
colortea: 有人被包養 125.228.251.20 10/07 17:24
kadasaki: 是撞庫就不用調查嗎? 125.228.251.20 10/07 17:24
Porops: 就算以email做2FA都比簡訊安全,不用簡訊 114.34.5.66 10/07 17:25
Porops: 選項還有很多好嗎,透過Google Authentic 114.34.5.66 10/07 17:25
Porops: ator就是一般網站都能做到又安全又方便的 114.34.5.66 10/07 17:25
Porops: 2FA,也有很多網站如Steam的2FA會做在自 114.34.5.66 10/07 17:25
glenber: 求包養...管飽就好XD 114.34.5.66 10/07 17:25
Porops: 己的APP上,google或facebook因為滲透率 114.34.5.66 10/07 17:25
Porops: 高所以可以採用直接按個是就登入成功那也 114.34.5.66 10/07 17:25
Porops: 是一種2FA,對於網家這種規模來說這只是 114.34.5.66 10/07 17:25
Porops: 要不要做而已,根本就是圖方便不做 114.34.5.66 10/07 17:25
sheng76314: 數發部是出國的 114.47.1.140 10/07 17:25
Kimbel: 阿姨!我不想努力了(求包養) 114.47.1.140 10/07 17:25
kadasaki: 能這樣撞PCHOME的資料庫的資料規模有多 125.228.251.20 10/07 17:27
kadasaki: 大,才是需要探討調查的 125.228.251.20 10/07 17:28
nisioisin: 前面有說一些人是只在PChome弄那組帳 223.137.128.12 10/07 17:28
nisioisin: 密,不知道哪的庫這麼厲害能撞到 223.137.128.12 10/07 17:28
kadasaki: 下次我偷吃被老婆抓我也說是撞庫好了 125.228.251.20 10/07 17:30
tale1890: 有沒有富二代要包養 125.228.251.20 10/07 17:30
SSSONIC: 所以人抓到沒? 1.160.95.156 10/07 17:33
kadasaki: 在網站上蒐集已經被公開揭露的個人資訊 125.228.251.20 10/07 17:34
kadasaki: 你們各位是不是都把帳密刊在網路上? 125.228.251.20 10/07 17:34
Kingsman: 笑死,一樓專業喔,資訊處理職系去數發 61.219.98.151 10/07 17:44
Kingsman: 部過完水就跑回原單位降調了啦。不過我 61.219.98.151 10/07 17:44
waterway: 身邊有朋友被包養 61.219.98.151 10/07 17:44
Kingsman: 還是要說,民間說撞庫你就真的相信撞庫 61.219.98.151 10/07 17:44
Kingsman: ,就是規避企業產生信任機制的一環,說 61.219.98.151 10/07 17:44
Kingsman: 好履約保證履到哪去?你儲值開驗證也沒 61.219.98.151 10/07 17:44
Kingsman: 辦法阻止P幣、Hami跟環保綠點直接被抵 61.219.98.151 10/07 17:44
Kingsman: 用掉。Pchome如果覺得自己是無辜第三人 61.219.98.151 10/07 17:44
mark1888: 亞洲最大包養平台上線了 61.219.98.151 10/07 17:44
Kingsman: 完全不需任何行政責任,那就最好跟中華 61.219.98.151 10/07 17:44
Kingsman: 電信被盜用一樣有點屁股,把月結的點數 61.219.98.151 10/07 17:44
Kingsman: 卡止付後,返還被害人。而不是在那邊什 61.219.98.151 10/07 17:44
Kingsman: 麼等偵查隊來調卷,阿你一個平台責任就 61.219.98.151 10/07 17:44
Kingsman: 是看著消費者透過介接你的平台,連中華 61.219.98.151 10/07 17:44
Quaranta: 包養SD = SugarDaddy? 61.219.98.151 10/07 17:44
Kingsman: 電信的點數都一起被吃掉喔!? 61.219.98.151 10/07 17:44
uegajde: 希望數位部在背書前能說明一下他們做了 39.9.32.137 10/07 17:46
uegajde: 什麼查證還有監督的工作、看到什麼,所 39.9.32.137 10/07 17:46
uegajde: 以才背書,不然這文看起來就像他們單純 39.9.32.137 10/07 17:46
uegajde: 對網家說法照單全收,那就幾乎是瀆職了 39.9.32.137 10/07 17:46
schlemm: 這個包養網正妹好多 是真的嗎 39.9.32.137 10/07 17:46
uegajde: 更正:數位部→數發部 39.9.32.137 10/07 17:51
COSMED2021: 鄉民出一張嘴都怪別人最棒了,哈佛學 101.9.203.228 10/07 17:56
COSMED2021: 生改Meta智慧眼鏡上路每個人的個資都 101.9.203.228 10/07 17:56
COSMED2021: 看的到,很多人都愛把個資在網路上炫 101.9.203.228 10/07 17:56
COSMED2021: 耀公布然後可能的帳號密碼就被程式抓 101.9.203.228 10/07 17:57
Wirol: 真的有這麼多人在找包養 101.9.203.228 10/07 17:57
COSMED2021: 出來撞會很難嗎? 101.9.203.228 10/07 17:57
Kingsman: 數發部畢竟就中央單位,處理過就當我已223.137.109.212 10/07 17:58
Kingsman: 經處理了,不然就是把這個當成一般消保223.137.109.212 10/07 17:58
Kingsman: 爭議案件往地方丟結束,沒有很期待他有223.137.109.212 10/07 17:58
Kingsman: 什麼厲害的作為。但是Pchome想定調成個223.137.109.212 10/07 17:58
marecht: 有人可以分析一下包養平台的差異嗎223.137.109.212 10/07 17:58
Kingsman: 案這點我是很不認同的,你真的一點責任223.137.109.212 10/07 17:59
Kingsman: 都沒有?223.137.109.212 10/07 17:59
COSMED2021: 你們被盜的全都報案去,再哪只會怪別 101.9.203.228 10/07 17:59
COSMED2021: 人有什麼用,像高鐵點數不就抓一個了 101.9.203.228 10/07 17:59
COSMED2021: ,資訊安全要靠自己,不然為甚啥是你 101.9.203.228 10/07 17:59
riokio: 那個包養網人最多XD 101.9.203.228 10/07 17:59
COSMED2021: 被盜不是別人? 101.9.203.228 10/07 17:59
ABA0525: 可憐 42.77.98.230 10/07 18:01
ABA0525: 怕被告賠錢 42.77.98.230 10/07 18:01
COSMED2021: 不是個案你們就跟直銷被倒會一樣組自 101.9.203.228 10/07 18:01
COSMED2021: 救會啊,每天都網路傳言,組自救會提 101.9.203.228 10/07 18:01
wiimas: 我妹上包養網被我發現= = 101.9.203.228 10/07 18:01
COSMED2021: 團體訴訟啊,看有多少人,是不是個案 101.9.203.228 10/07 18:01
COSMED2021: 啊 101.9.203.228 10/07 18:01
mmchen: 犯人保護網正常運作 39.15.17.195 10/07 18:09
waitu0526: 撞庫?笑死 42.73.138.249 10/07 18:15
doom3: 可以被撞到一堆災情 要馬沒在防要馬庫外洩 218.164.156.10 10/07 18:25
Branlli: 隔壁桌的人竟然在討論包養... 218.164.156.10 10/07 18:25
speedythief: 大家都知你pchome老大有方法可提前 122.121.206.20 10/07 18:28
speedythief: 打疫苗 122.121.206.20 10/07 18:28
wangno77: 餅叔不熟 49.216.222.127 10/07 18:33
dickstar: 只撞高儲值用戶,厲害 61.227.113.130 10/07 18:44
csieflyman: 如果數發部沒有權限進到 pchome 稽查122.116.111.118 10/07 18:50
Cinedt: 樓上是不是被包養122.116.111.118 10/07 18:50
csieflyman: 現在業者也已有作為不會再發生 監管122.116.111.118 10/07 18:50
csieflyman: 只能要求業者交報告 未來頂多制定資安122.116.111.118 10/07 18:50
csieflyman: 規範罰錢吧 所以受害者還是要報案 透122.116.111.118 10/07 18:50
csieflyman: 過司法途徑解決才能求償122.116.111.118 10/07 18:50
GiantChicken: 這個好笑 明明就是超針對的盜帳 1.163.51.116 10/07 19:15
Drither: 樓下被包養 1.163.51.116 10/07 19:15
now99: 啟用passKey不就好,露天都可以 223.137.187.3 10/07 19:49
jimhall: 笑死 怪顧客就好 42.72.120.207 10/07 19:51
KuwaK: 超厲害 只撞高儲值金的 39.15.33.236 10/07 19:55
csieflyman: 如果駭客真的拿到高儲值名單 那受害122.116.111.118 10/07 20:07
csieflyman: 者應該集中在 "全體使用者" 依儲值金122.116.111.118 10/07 20:07
Notker: 現包養都上檯面了嗎122.116.111.118 10/07 20:07
csieflyman: 額高低排序的前幾名名單中 金額至少122.116.111.118 10/07 20:07
csieflyman: 應該都是數萬元起跳 因為金額大一定會122.116.111.118 10/07 20:07
csieflyman: 報警 所以報案人數應該有不少人122.116.111.118 10/07 20:07
flypenguin: 要修法把經濟部的監管權限轉移都被擋 118.161.21.204 10/07 20:09
flypenguin: 是能期待數發部做什麼,沒有法律授權 118.161.21.204 10/07 20:10
Peycere: 在包養網遇到朋友= = 118.161.21.204 10/07 20:10
flypenguin: 他也只能打打嘴炮不能實質干涉 118.161.21.204 10/07 20:10
Kingsman: 反正個資保護委員會也還在籌備,這種裁223.137.109.212 10/07 20:24
Kingsman: 罰權責不明的期間不用想誰會出來當主事223.137.109.212 10/07 20:24
Kingsman: 者,只會說權責並非本部。相關與我身邊223.137.109.212 10/07 20:24
Kingsman: 的人一同進行的行政程序,在還沒明確結223.137.109.212 10/07 20:25
vd422: 問卦:有包養SD的卦嗎223.137.109.212 10/07 20:25
Kingsman: 論前就不跟Ptt噓文檢討被害的傢伙贅述了223.137.109.212 10/07 20:25
Kingsman: ,我應該不需要噓文的指導,但我就看要223.137.109.212 10/07 20:25
Kingsman: 累積幾個案件處理編號,他們才會覺得不223.137.109.212 10/07 20:25
Kingsman: 是個案。反正已經有心理准備這些會是不223.137.109.212 10/07 20:25
Kingsman: 斷移文跟併案的過程了,準備點耐心就是223.137.109.212 10/07 20:25
lutano: 隔壁桌好像是包養SD在見面XD223.137.109.212 10/07 20:25
Kingsman: 。223.137.109.212 10/07 20:25
cmshow: 數發部幫業者洗地,那還需要主管機關幹嘛 39.9.41.91 10/07 20:40
misu2718: 多一批領薪不做事的主管機關,就跟資動 101.137.42.165 10/07 20:44
misu2718: 部一樣 101.137.42.165 10/07 20:44
chiungsuyi: 開啟多重驗證是平台應該要做的事,P 101.9.193.49 10/07 20:51
muiwo: aSugarDating = 包養SD? 101.9.193.49 10/07 20:51
chiungsuyi: CHOME任由盜用者介接平台、偷光會員 101.9.193.49 10/07 20:51
chiungsuyi: 的儲值金,數發部裝瞎? 101.9.193.49 10/07 20:51
hr07: 有關係就沒關係 蒸蚌 180.217.19.25 10/07 21:01
chiungsuyi: https://i.imgur.com/UHQoskO.jpeg 101.9.193.49 10/07 21:07
chiungsuyi: 101.9.193.49 10/07 21:07
sunuzo: 未看先猜這包養網 101.9.193.49 10/07 21:07
chiungsuyi: 數發部知道自己在講什麼嗎…有夠雷 101.9.193.49 10/07 21:08
goodjackgu: 這樣的發言,我也會說 223.139.248.38 10/07 21:12
iceyang: 自己去跟老闆說翻版 自立自強壓 61.224.154.244 10/07 21:15
thomaschion: 之前來稽核的官員根本什麼都不會,125.228.189.235 10/07 21:58
thomaschion: 條款不知哪裡抄的,還在那邊民眾要125.228.189.235 10/07 21:58
UNIQC: 有人知道包養SD是什麼嗎125.228.189.235 10/07 21:58
thomaschion: 開二階段,PC home 之前根本沒有125.228.189.235 10/07 21:58
qwe123456460: 還以為今天網家會大跌 203.73.105.114 10/07 22:18
POLICEHK: 你們太不給力了,高鐵賺十萬就被抓了118.231.152.119 10/07 22:35
phoque: 推文說pchome撞庫pchome超好笑 1.160.169.228 10/07 22:44
MixBear: 別家就沒問題115.165.193.167 10/07 22:50
dewaro: 一定又是這包養網115.165.193.167 10/07 22:50
brk: Pchome禮拜五才開始有2FA登入喔 223.137.131.64 10/08 00:09
brk: 出事之前單一密碼就可以登入 民眾根本沒有選 223.137.131.64 10/08 00:10
brk: 擇 223.137.131.64 10/08 00:10
brk: Pchome果然政商關係良好 都串好說辭了 223.137.131.64 10/08 00:13
m87dd05: 我怎麼記得前幾天有文章說pchome 否認有 1.200.141.248 10/08 00:16
Elfego: 包養平台不意外 1.200.141.248 10/08 00:16
m87dd05: 資安問題? 1.200.141.248 10/08 00:16
duolala: 現在冷靜下來想一想,應該不至於資料庫 118.232.1.29 10/08 00:23
duolala: 外洩造成的,因為一般帳密設計會使用 118.232.1.29 10/08 00:23
duolala: 雜湊加密儲存(一般來說不可逆) 118.232.1.29 10/08 00:24
duolala: 除非網家用明碼儲存, 118.232.1.29 10/08 00:25
Nicodim: 覺得包養網EY嗎 118.232.1.29 10/08 00:25
duolala: 我不知道是否有蠢成這樣 118.232.1.29 10/08 00:25
duolala: 所以就算資料庫外流了,你拿到的是加密值 118.232.1.29 10/08 00:25
duolala: 你如果沒辦法還原成原本的值 118.232.1.29 10/08 00:26
duolala: (雜湊一般來說只能單向) 118.232.1.29 10/08 00:26
duolala: 那手中拿到加密的值 118.232.1.29 10/08 00:27
Foning: 包養網站葉配啦 118.232.1.29 10/08 00:27
duolala: 一定不會等於加密值的加密 118.232.1.29 10/08 00:27
duolala: 所以帳號密碼就不會一致, 118.232.1.29 10/08 00:28
duolala: 也就登錄不進去系統 118.232.1.29 10/08 00:28
duolala: 我預設的前提是網家用雜湊儲存密碼 118.232.1.29 10/08 00:28
duolala: 和雜湊沒被破解,以上是個人見解 118.232.1.29 10/08 00:29
AKNY: 記者收了包養網多少啦 118.232.1.29 10/08 00:29
sharon1006: 專門撞高儲值帳號也太會撞了 有夠扯 59.105.97.55 10/08 00:49
tinlans: 這討論串太多人誤解這種攻擊的特徵了, 114.34.189.30 10/08 01:05
tinlans: 這種攻擊就是要先大量試登一次確認手上的 114.34.189.30 10/08 01:06
tinlans: 帳密清單有哪些是有價值的,先用消去法 114.34.189.30 10/08 01:06
tinlans: 把沒價值的排除,順便存好 cookies, 114.34.189.30 10/08 01:06
mysister: 包養真亂 114.34.189.30 10/08 01:06
tinlans: 最後再一口氣針對高價值帳號下手。 114.34.189.30 10/08 01:07
tinlans: 然後對岸用撞庫這詞彙其實也容易招人誤解 114.34.189.30 10/08 01:07
tinlans: 成是拿 A 資料庫的內容碰撞 B 資料庫。 114.34.189.30 10/08 01:08
tinlans: 然後就會想 B 是 PChome,那 A 是誰? 114.34.189.30 10/08 01:08
tinlans: A 其實是入侵者手上的社工庫,一份來自各 114.34.189.30 10/08 01:09
cir72: 演藝圈一堆包養好嗎 114.34.189.30 10/08 01:09
tinlans: 種管道收集而來的帳密及其它個資的清單。 114.34.189.30 10/08 01:09
tinlans: 來源很多樣化,盜版軟體註冊機植入木馬側 114.34.189.30 10/08 01:10
tinlans: 錄來的,類似伊莉那類論壇但使用古老版本 114.34.189.30 10/08 01:11
tinlans: 有漏洞的網站來的,一些店家自己架設網站 114.34.189.30 10/08 01:11
tinlans: 但有漏洞來的,非常多元。 114.34.189.30 10/08 01:12
ATrain: 政治圈一堆包養好嗎 114.34.189.30 10/08 01:12
tinlans: 這種攻擊要造成實際損失才比較容易引起 114.34.189.30 10/08 01:13
tinlans: 警覺,所以在未確認自己手上這份清單有 114.34.189.30 10/08 01:13
tinlans: 多少筆帳密是有效之前,不會貿然對平台 114.34.189.30 10/08 01:13
tinlans: 發動總攻,所以特徵一定是先掃,再集中 114.34.189.30 10/08 01:14
tinlans: 下手,兩波之間有時間差,就是典型特徵。 114.34.189.30 10/08 01:15
grado0802: 有錢人一堆包養好嗎 114.34.189.30 10/08 01:15
tinlans: 執行這攻擊的通常帳密清單也不是靠自己本 114.34.189.30 10/08 01:16
tinlans: 事收集來的,很多是買來的,所以要先掃。 114.34.189.30 10/08 01:16
tinlans: 如果 100% 知道哪筆帳密是有效且有價值 114.34.189.30 10/08 01:17
tinlans: 帳號,沒必要分兩波增加被防禦風險。 114.34.189.30 10/08 01:17
tinlans: 像有做股票的在證券商都有開戶,但也不一 114.34.189.30 10/08 01:20
smilejin: 學生妹被包養多嗎 114.34.189.30 10/08 01:20
tinlans: 定有開複委託,就是能交易海外股票的。 114.34.189.30 10/08 01:20
tinlans: 當時攻擊者也是先掃出有複委託的帳號再一 114.34.189.30 10/08 01:20
tinlans: 口氣下手,當時遭受攻擊的券商有很多在第 114.34.189.30 10/08 01:21
tinlans: 一波掃描的時候就發現,主動通報主管機關 114.34.189.30 10/08 01:21
tinlans: 而沒受害,所以通報的有很多家,實際受害 114.34.189.30 10/08 01:22
qusekii: 有錢人為啥都想包養 114.34.189.30 10/08 01:22
tinlans: 的券商卻不多,這就是分兩波攻擊的風險。 114.34.189.30 10/08 01:22
tinlans: 這種攻擊對一個平台一輩子只有一次機會, 114.34.189.30 10/08 01:24
tinlans: 所以一定要讓單次攻擊產生最大效益。 114.34.189.30 10/08 01:25
tinlans: 如果邊登邊確認價值邊交易,你可能 50 萬 114.34.189.30 10/08 01:27
tinlans: 筆資料跑下來只有 5 個帳號有價值,也都 114.34.189.30 10/08 01:27
Y949731: 有錢人為啥都想包養 114.34.189.30 10/08 01:27
tinlans: 交易下去了,造成損失就會有引起平台關注 114.34.189.30 10/08 01:28
tinlans: ,可能賺 5 筆這招就被平台封了。 114.34.189.30 10/08 01:28
tinlans: 實務上大多網站不像券商在第一波就能發現 114.34.189.30 10/08 01:31
tinlans: ,所以為了最大化效益,都是這樣拆兩波。 114.34.189.30 10/08 01:32
tinlans: 這種攻擊的收益形式在不同平台也有不同 114.34.189.30 10/08 01:34
T730733: 亞洲最大包養網上線啦 114.34.189.30 10/08 01:34
tinlans: 形式,沒辦法無確認成交虛擬商品銷贓的, 114.34.189.30 10/08 01:34
tinlans: 可以改成收集個資來賣給詐騙集團、用盜來 114.34.189.30 10/08 01:35
tinlans: 的帳號開設詐欺賣場、仿冒品賣場,或者直 114.34.189.30 10/08 01:35
tinlans: 接拍賣帳號本身。 114.34.189.30 10/08 01:35
tinlans: 所以這種攻擊其實 15 年以前就很多了, 114.34.189.30 10/08 01:36
FireStation: 我哥上包養網被我抓包.. 114.34.189.30 10/08 01:36
tinlans: 只是每次都以使用者指責平台資安問題收尾 114.34.189.30 10/08 01:37
tinlans: ,後續就不了了之,強化的只有已受害平台 114.34.189.30 10/08 01:38
tinlans: 的資安,使用者本身還是依然故我。 114.34.189.30 10/08 01:38
tinlans: 然後在未受害未加強防禦的平台再吃一次虧 114.34.189.30 10/08 01:39
tinlans: 如果不缺錢的可以去玩玩 telegram 上的 114.34.189.30 10/08 01:41
Thobel: 有人包養過洋鬼子嗎 114.34.189.30 10/08 01:41
tinlans: 社工機器人之類的服務,把你朋友主管的 114.34.189.30 10/08 01:42
tinlans: 私人手機或信箱餵進去,會意外看到很多 114.34.189.30 10/08 01:42
tinlans: 他們用過的其它帳號、信箱和密碼。 114.34.189.30 10/08 01:42
ideekao: 樓上的說法讓我感到害怕 瑟瑟發抖~ 220.134.106.57 10/08 01:44
ideekao: https://imgur.com/DawXH2w 220.134.106.57 10/08 01:44
Reji: 有錢人為啥都想包養 220.134.106.57 10/08 01:44
tinlans: 搭配暗網在賣的戶政資料,交叉比對就可得 114.34.189.30 10/08 01:44
tinlans: 這些人的身分證字號和生日,一些用生日當 114.34.189.30 10/08 01:45
tinlans: 2FA 的金融機構、網站這機制就形同虛設。 114.34.189.30 10/08 01:45
tinlans: 喔有些網站信箱不給換的原因是,它們工程 114.34.189.30 10/08 01:47
tinlans: 師對密碼做 hash 時會拿它來當加鹽的素材 114.34.189.30 10/08 01:48
Hathael: 有人被洋鬼子包養過嗎 114.34.189.30 10/08 01:48
tinlans: ,如果可以更換的話做起來很麻煩。 114.34.189.30 10/08 01:48
sharon1006: 但原原po那串有統計兩名受害者的帳密 59.105.97.55 10/08 01:49
sharon1006: 在pc是唯一值,他們的資料是哪來的? 59.105.97.55 10/08 01:50
tinlans: 這種就有兩種可能性,一是木馬,現在很多 114.34.189.30 10/08 01:51
tinlans: win7/xp 再戰十年、防毒軟體才是病毒的 114.34.189.30 10/08 01:51
yovroc: 到底要多有錢才會想包養 114.34.189.30 10/08 01:51
tinlans: 言論,要看是不是這類型的人。 114.34.189.30 10/08 01:52
tinlans: 另一個可能性就比較不想在這講得太明, 114.34.189.30 10/08 01:52
tinlans: 比較含蓄的說法就是其實並非真的是唯一值 114.34.189.30 10/08 01:53
tinlans: 說真的前者可能性不低,短短這幾年就連 114.34.189.30 10/08 01:55
tinlans: 到處都在用的 OpenSSL 都淪陷數次, 114.34.189.30 10/08 01:55
helgalie: 包養SD = aSugarDating 114.34.189.30 10/08 01:55
tinlans: 敢在未更新的設備上執行金融交易也是很猛 114.34.189.30 10/08 01:56
tinlans: 系統更新時修補的漏洞有在看敘述的話, 114.34.189.30 10/08 01:58
tinlans: 有些會寫這次修補的漏洞是可以遠端讓本機 114.34.189.30 10/08 01:58
tinlans: 執行任意程式碼的。當然往年大多數這些漏 114.34.189.30 10/08 01:58
tinlans: 洞都有一些附加條件才能利用,不會廣範圍 114.34.189.30 10/08 01:59
OREOMZA: 閨蜜上包養網還推薦我... 114.34.189.30 10/08 01:59
tinlans: 無差別中獎,不過近五年的確是有那種不 114.34.189.30 10/08 01:59
tinlans: 需要條件就能隨便對你電腦上下其手的。 114.34.189.30 10/08 02:00
tinlans: 公用 WiFi 不要拿來登要帳號的網站這點 114.34.189.30 10/08 02:01
tinlans: 其實也是很多人做不到。 114.34.189.30 10/08 02:01
csieflyman: 我上面的推文有強調 如果資料外洩 受122.116.111.118 10/08 02:04
punjab: 包養?122.116.111.118 10/08 02:04
csieflyman: 害者應該集中在 "全體使用者" 依儲值122.116.111.118 10/08 02:04
csieflyman: 金額排序前幾名 我推測 pchome 應該是122.116.111.118 10/08 02:04
csieflyman: 檢查出還有很多高儲值金額的人沒事122.116.111.118 10/08 02:04
csieflyman: 所以認為這只是駭客從手中有限名單過122.116.111.118 10/08 02:04
csieflyman: 濾出的高儲值帳號而已 至於為何只有 p122.116.111.118 10/08 02:04
sashare: 台全最的包養SD上線啦!122.116.111.118 10/08 02:04
csieflyman: chome 出事? 那是因為這次駭客本來就122.116.111.118 10/08 02:04
csieflyman: 鎖定 pchome 儲值這個資安弱點攻擊而122.116.111.118 10/08 02:04
csieflyman: 已 並不代表其它網站沒出事 只是你不122.116.111.118 10/08 02:04
csieflyman: 知道沒注意或沒上新聞而已122.116.111.118 10/08 02:04
tinlans: 是的,其實很多真的沒上新聞或沒人關注 114.34.189.30 10/08 02:06
sijiex: 現在包養網都這麼直接嗎 114.34.189.30 10/08 02:06
tinlans: 只是我很意外 PTT 兩年前才被大殺一波 114.34.189.30 10/08 02:07
tinlans: 但是對這次事件感覺就像第一次遇到一樣 114.34.189.30 10/08 02:07
tinlans: 蝦皮、露天、Y 拍等等的站台早玩過一輪了 114.34.189.30 10/08 02:08
csieflyman: 話說 momo 也很爛 我用手機 app 變更122.116.111.118 10/08 02:08
csieflyman: 密碼輸入16位 結果登入頁檢查長度上122.116.111.118 10/08 02:08
VLADINA: 歐美包養真的很平常嗎?122.116.111.118 10/08 02:08
csieflyman: 限是15位 改了之後無法登入 還好我還122.116.111.118 10/08 02:08
csieflyman: 有綁google帳號才能登入再改一次密碼122.116.111.118 10/08 02:08
tinlans: 然後有時是網站不更新系統造成的漏洞, 114.34.189.30 10/08 02:09
tinlans: 所以密碼是唯一值還不夠,沒開 2FA 就是 114.34.189.30 10/08 02:09
tinlans: 最好定期修改,10 年前那個 Heartbleed 114.34.189.30 10/08 02:09
odemagus: 男友上包養網 該放生嗎 114.34.189.30 10/08 02:09
tinlans: 漏洞連唯一值但不修改密碼的帳號都通殺 114.34.189.30 10/08 02:10
tinlans: 其實台灣軟體業人員流動很快,有些整個原 114.34.189.30 10/08 02:12
tinlans: 團隊人馬都跑光了,新來的根本不知道前人 114.34.189.30 10/08 02:12
tinlans: 做了什麼,整天在四處解謎,就很容易看到 114.34.189.30 10/08 02:12
tinlans: 你說的這種 15、16 位數的白癡問題。 114.34.189.30 10/08 02:13
yes500: 是這個包養平台 114.34.189.30 10/08 02:13
tinlans: 日本的 IT 慘業也差不多就是,你隨便註冊 114.34.189.30 10/08 02:15
tinlans: 一個帳號,修改 POST 到 API 的資料欄位 114.34.189.30 10/08 02:16
tinlans: ,居然可以傳回其它帳號的資料。UID 從 114.34.189.30 10/08 02:16
tinlans: 1 掃到 999999 就大豐收。 114.34.189.30 10/08 02:16
tinlans: 這種都是當初作者想說先寫個能動的東西就 114.34.189.30 10/08 02:18
alexantiy: 交男友跟包養有什麼差別 114.34.189.30 10/08 02:18
tinlans: 好,然後他就再也沒空回來補強了,也沒交 114.34.189.30 10/08 02:19
tinlans: 接給後面的人說這邊未來要補強。 114.34.189.30 10/08 02:19
csieflyman: 我自己定的密碼規則是包含密碼變更時122.116.111.118 10/08 02:20
csieflyman: 間及網站簡稱 變更時間用來提醒過一陣122.116.111.118 10/08 02:20
csieflyman: 子需要改密碼了 網站簡稱讓每個網站122.116.111.118 10/08 02:20
sowrey: 包養網到底在紅什麼?122.116.111.118 10/08 02:20
csieflyman: 的密碼都不一樣 而且這個規則是我大122.116.111.118 10/08 02:20
csieflyman: 腦記得起來的 不必特別死背 不過現在122.116.111.118 10/08 02:20
csieflyman: 我已逐漸改用密碼管理器了122.116.111.118 10/08 02:20
csieflyman: 萬一被公佈密碼 我從網站簡稱就知道大122.116.111.118 10/08 02:23
csieflyman: 概何時是從那裡外洩出去的122.116.111.118 10/08 02:23
cw758: 有人被包養122.116.111.118 10/08 02:23
tinlans: 老外更早被這招玩過,密碼管理軟體比較 114.34.189.30 10/08 02:25
tinlans: 流行,我大概是 2004 左右開始用 KeePass 114.34.189.30 10/08 02:25
tinlans: ,所以每半年到一年就會去查看看哪個網站 114.34.189.30 10/08 02:26
tinlans: 外流我密碼,因為都自動產生的必定唯一。 114.34.189.30 10/08 02:27
tinlans: 當時對岸很流行一個 Discuz! 論壇系統, 114.34.189.30 10/08 02:28
ludi: 求包養...管飽就好XD 114.34.189.30 10/08 02:28
tinlans: 但是安全度爛得可以,以前還有個烏雲網 114.34.189.30 10/08 02:28
tinlans: 會不定期公開這系統漏洞,拿那些公開漏洞 114.34.189.30 10/08 02:29
tinlans: 就能拿 web shell,dump db 跟側錄登入框 114.34.189.30 10/08 02:29
tinlans: 這種事情整天都有人在玩。 114.34.189.30 10/08 02:30
spirit119: 樓上勾起了我的回憶222.250.234.185 10/08 02:36
peernut: 阿姨!我不想努力了(求包養)222.250.234.185 10/08 02:36
spirit119: 以前很常會看這些東西222.250.234.185 10/08 02:37
lukedoomer: 不同意簡訊比EMAIL安全 1.173.76.227 10/08 08:32
lukedoomer: 整天有人幻想簡訊不安全 1.173.76.227 10/08 08:33
lukedoomer: 舉那些用email驗證的網站例子 一堆只 1.173.76.227 10/08 08:34
lukedoomer: 是平台單純不願意花簡訊費用罷了 1.173.76.227 10/08 08:35
xikimi: 有沒有富二代要包養 1.173.76.227 10/08 08:35
SHENG2014: 數發部不就按Pchome給的稿發而已。 106.64.160.27 10/08 09:45
SHENG2014: 高儲值用戶都用身份證及生日當密碼嗎 106.64.160.27 10/08 09:47
keerily: 數發部真的一點屁用都沒有 60.251.199.140 10/08 10:40
ReiChang: 出國第一 111.71.214.15 10/08 12:03
h3651551: 紅明顯,真心想知道簡訊不安全在那? 也101.137.223.132 10/08 14:11
Avero: 身邊有朋友被包養101.137.223.132 10/08 14:11
h3651551: 有加密不加密或是被監聽的問題嗎101.137.223.132 10/08 14:11
tinlans: 2FA 有就是比沒有好,去區分哪種比較安全 114.34.189.30 10/08 14:50
tinlans: 沒什麼實質意義,使用者基本資安觀念沒有 114.34.189.30 10/08 14:51
tinlans: 的話,一切都形同虛設。 114.34.189.30 10/08 14:51
tinlans: 防範這種攻擊法的基礎就是增加機器人自動 114.34.189.30 10/08 14:53
ejoz: 亞洲最大包養平台上線了 114.34.189.30 10/08 14:53
tinlans: 大量嘗試登入的困難度,只要無法簡單用程 114.34.189.30 10/08 14:54
tinlans: 式驗證上萬筆帳密是否在此網站有效,有效 114.34.189.30 10/08 14:54
tinlans: 的帳號是否有足夠的盜用價值,就能倖免。 114.34.189.30 10/08 14:54
tinlans: 2FA 各種機制的安全與否是另一個面向的 114.34.189.30 10/08 15:01
tinlans: 議題,如果信箱帳密一起被賣,用信箱就沒 114.34.189.30 10/08 15:03
FishRoom: 包養SD = SugarDaddy? 114.34.189.30 10/08 15:03
tinlans: 意義,如果是被種木馬,簡訊就沒意義, 114.34.189.30 10/08 15:03
tinlans: 如果是被釣魚,初始 token 被複製走, 114.34.189.30 10/08 15:04
tinlans: 那 Google Authenticator 這類的也沒意義 114.34.189.30 10/08 15:04
tinlans: 與其教育廣大不具資安知識的使用者,平台 114.34.189.30 10/08 15:10
tinlans: 方更具專業知識背景,多做點登入防護就能 114.34.189.30 10/08 15:11
KsiR: 這個包養網正妹好多 是真的嗎 114.34.189.30 10/08 15:11
tinlans: 解決的事,其實不用想其它的事那麼遠。 114.34.189.30 10/08 15:12
weikai1978: 請教T大,您覺的MOMO,PC,蝦皮,YA這四大 114.27.167.251 10/08 15:27
weikai1978: 網購平台,PC的登入防護作的如何? 114.27.167.251 10/08 15:27
weikai1978: 好像連基本的異地登入驗証跟通知都沒? 114.27.167.251 10/08 15:28
tinlans: yahoo 很久沒用,剛看了一下可以開啟兩步 114.34.189.30 10/08 16:07
peoples: 真的有這麼多人在找包養 114.34.189.30 10/08 16:07
tinlans: 驟驗證,這個還行。蝦皮我每次從別台電腦 114.34.189.30 10/08 16:07
tinlans: 登都會發簡訊來,MOMO 我隔一小時從同一 114.34.189.30 10/08 16:07
tinlans: 台電腦重登都會發簡訊要驗證,都還行吧。 114.34.189.30 10/08 16:08
tinlans: 只要大量機器人登入會被這東西攔住,成為 114.34.189.30 10/08 16:09
tinlans: 這種攻擊目標的機率就會大大降低。 114.34.189.30 10/08 16:09
wilmer: 有人可以分析一下包養平台的差異嗎 114.34.189.30 10/08 16:09
tinlans: PC 現在我登出再登入也會要求信箱驗證碼 114.34.189.30 10/08 16:10
tinlans: ,不過登入失敗沒任何通知是不太好。 114.34.189.30 10/08 16:11
csieflyman: 國中小電腦課應該要加入資安教育 另外122.116.111.118 10/08 16:13
csieflyman: 資安最大的敵人之一就是懶惰 如果網122.116.111.118 10/08 16:13
csieflyman: 購登入 結帳 都卡驗證 最後銀行端再122.116.111.118 10/08 16:13
badlip: 那個包養網人最多XD122.116.111.118 10/08 16:13
csieflyman: 來個簡訊 OTP 又有人要抱怨買個東西這122.116.111.118 10/08 16:13
csieflyman: 麼麻煩 最後網站加了成本 轉化率卻降122.116.111.118 10/08 16:13
csieflyman: 低 如果營運本來就不好 誰要做? 除非122.116.111.118 10/08 16:13
csieflyman: 主管機關規範一定規模的網站 至少要122.116.111.118 10/08 16:13
csieflyman: 有那些資安措施 加個政府認證標章之122.116.111.118 10/08 16:13
piggyoil: 我妹上包養網被我發現= =122.116.111.118 10/08 16:13
csieflyman: 類的 不過這些都比不上便宜的價格 有122.116.111.118 10/08 16:13
csieflyman: 貪念 密碼個人資訊全都填 出現什麼都122.116.111.118 10/08 16:13
csieflyman: 按下一步122.116.111.118 10/08 16:13
tinlans: 養成用密碼管理軟體自動產生獨立密碼的 114.34.189.30 10/08 16:15
tinlans: 習慣,然後定期改密碼 (避免站方系統有漏 114.34.189.30 10/08 16:15
TwixBar: 隔壁桌的人竟然在討論包養... 114.34.189.30 10/08 16:15
tinlans: 洞造成帳號密碼被收集),其實就不太用怕 114.34.189.30 10/08 16:16
tinlans: 當然在這之外能盡量不要用來路不明軟體, 114.34.189.30 10/08 16:16
tinlans: 不在公用電腦、公用網路登帳號這些基本 114.34.189.30 10/08 16:17
tinlans: 觀念也要有。真能做到這些其實在這幾家購 114.34.189.30 10/08 16:17
tinlans: 物還不至於成為受害者。 114.34.189.30 10/08 16:17
boggicer: 樓上是不是被包養 114.34.189.30 10/08 16:17
tinlans: 有些加密貨幣交易所轉帳或出金超硬的, 114.34.189.30 10/08 16:20
tinlans: 強制要求 email、手機簡訊驗證碼,再外加 114.34.189.30 10/08 16:20
tinlans: Google Authenticator,不是沒有原因。 114.34.189.30 10/08 16:21
tinlans: 當然購物網站不可能每次交易都這樣搞 114.34.189.30 10/08 16:21
tinlans: ,不過網站有提供這些機制讓你開,就是多 114.34.189.30 10/08 16:23
Chiason: 樓下被包養 114.34.189.30 10/08 16:23
tinlans: 一層防護,不開白不開。 114.34.189.30 10/08 16:23
tinlans: 就像 csieflyman 講的,絕對不能懶。 114.34.189.30 10/08 16:24
tinlans: 轉化率問題,的確是只能靠主管機關要求, 114.34.189.30 10/08 16:25
tinlans: 這樣大家都一樣麻煩,就沒什麼好比較。 114.34.189.30 10/08 16:25
tinlans: 兩年前券商被盜帳號下港股事件就是金管會 114.34.189.30 10/08 16:26
Markell: 現包養都上檯面了嗎 114.34.189.30 10/08 16:26
tinlans: 跟證期局要求所有券商落實登入驗證機制。 114.34.189.30 10/08 16:26
tinlans: 原本券商很多只要有身分證字號、網路下單 114.34.189.30 10/08 16:28
tinlans: 密碼跟憑證就能下單,而憑證只要輸入出生 114.34.189.30 10/08 16:28
tinlans: 年月日就能自動申請下來,現在會有 OTP。 114.34.189.30 10/08 16:29
tinlans: 當時有人還質疑其它網站都沒地方輸入身分 114.34.189.30 10/08 16:30
fuoya: 在包養網遇到朋友= = 114.34.189.30 10/08 16:30
tinlans: 證字號和生日,這樣是要怎麼撞。但當時在 114.34.189.30 10/08 16:31
tinlans: 暗網的長安不夜城就有賣戶政資料,拿來跟 114.34.189.30 10/08 16:31
tinlans: 既有社工庫做交叉比對就能整合出來。 114.34.189.30 10/08 16:31
ctes940008: 現在還是有證券公司跟XX一樣 36.239.207.120 10/08 20:36
ctes940008: 身分證一直被測試,輸入三次錯誤密碼 36.239.207.120 10/08 20:37
Apasiri: 問卦:有包養SD的卦嗎 36.239.207.120 10/08 20:37
ctes940008: 直接鎖起來,光是每週在那邊解鎖就煩 36.239.207.120 10/08 20:37
ctes940008: 死了。證券公司不讓自訂帳號OOXX 36.239.207.120 10/08 20:37
ctes940008: 有人要搞你的話,拿身分證字號每天試 36.239.207.120 10/08 20:37
tinlans: 這個問過了,錯三次鎖住是主管機關要求, 114.34.189.30 10/08 21:09
tinlans: 他們也沒辦法只能照做。 114.34.189.30 10/08 21:09
litidi: 隔壁桌好像是包養SD在見面XD 114.34.189.30 10/08 21:09
tinlans: 不能自訂帳號這點我也不懂就是了,很蠢 114.34.189.30 10/08 21:10