自從 2 年前 PTT 大規模盜帳號事件及國內證券有開複委託的被盜去下港股以來,最近輪到 PChome 被攻擊了,有許多帳號裡有高額儲值金的帳號被盜去買虛擬商品。分析了一下目前聽到的受害者狀況,我的看法其實和 PChome 官方判斷差不多,一樣是老招憑證填充攻擊 (Credential Stuffing),也就是大陸所說的撞庫。和這種攻擊法產生的典型效應一致,大部分的輿論都偏向指責 PChome 資料庫外洩、質疑怎麼其它網站都沒事、為什麼可以這麼精準去盜特定高儲金值帳戶等等,認為一定是以明文儲存密碼,然後資料庫外流,所以攻擊者可以鎖定特定族群下手。