Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用

https://www.ithome.com.tw/news/165347 專門討論it的網站新聞出來了，可是還是沒有上大新聞XD 然後pchome說是撞庫攻擊，不是外洩啦 大家可以下課了，掰掰~ ※ 引述《kadasaki (Ｋ～)》之銘言： : 昨日晚間密集發生 : 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡 : 並有幾個小額儲值的帳號，被盜購買全家、家樂福、寶雅禮券 : 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google : 家人的帳號10/2晚間也被登入PCHOME，就盡速修改密碼 : 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號，目前是0 : 所以比較疑似是備份的資料庫被盜 : 平常有在參加一些P幣跟積點活動，如昨天玉山的活動先預儲準備後面要購買的人要注意 : 儲值幾千上萬的都會被盯上，記得打開儲值使用驗證設定啟用 : PC這次疑似是整個資料庫外洩，連儲值金多寡都有，更不用說個資 : *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC，這樣PC至少要被撞幾百萬筆 : *但驗證了五個受害者六個帳號，其中有一個PC跟MOMO密碼不同，有兩個蝦皮跟PC不同 : PC還沒把這些點數型商品禁止使用儲值，請注意自己的信箱有沒有被登入紀錄或是 : 收到驗證碼紀錄 : PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制，但仍無法有效阻擋被登入 : 似乎舊版的登入頁面有漏洞不用二次驗證，或是COOKIE已經紀錄登入資訊。 : 推測PCHOME流出的資料不是目前最新的資料，而是幾個月前的資料庫，也許是備份的 : 資料庫，因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的 : 帳號，許多目前儲值是0仍被嘗試登入，就表示是看幾個月前的儲值量去排序儲值登入 : ---- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.104.100.235 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Lifeismoney/M.1728147860.A.588.html