最近 PTT 出現大量帳號被盜事件,而且大部分的人是無登入失敗紀錄就被盜走帳號,因此有人懷疑是站方資安問題,或者認為是站方有內鬼把使用者資料庫洩漏出去,甚至還有人懷疑是第三方的手機 app 有問題;站方也懷疑可能是使用者使用了不安全的通訊協定,因此關閉了 telnet 協定。其實這幾個特徵對於有經驗的人來說,一看就知道是憑證填充攻擊 (Credential Stuffing),在大陸稱為撞庫。通常遭受這種攻擊導致大量帳號被盜的網站會出現以下特徵:
- 大多數被盜走的帳號沒有登入失敗紀錄,一次就被不明 IP 登成功並盜走帳號,有部分會有 1 ~ 2 次登入失敗紀錄。
- 沒被盜走帳號的人,少部分會發現自己帳號被嘗試登入過 1 ~ 2 次,但因為密碼錯誤均失敗。
- 使用者開始猜疑站方,覺得站方系統有漏洞、管理團隊或經營方有人手腳不乾淨。
- 站方建議要提防釣魚網站、不要跟人共用帳號、不要使用無密碼的公開 wifi 登入網站、使用加密協定登入,但效果不彰。
- 如果站方不顧道德瑕疵去 log 所有登入操作輸入的帳密,可觀察到駭客頻繁切換 IP 嘗試登入,每個帳號只會嘗試 1 ~ 2 次,且輸入的密碼看起來也不是常見的弱密碼 111111、abcd1234、asdfasdf、qweasdzxc 之類,而是一些還算安全且不太容易被破解的密碼。
其實前陣子元大證券帳號被盜去下港股的事件也是同一招,只是手法比較非典型,是利用外洩的戶政資料來做嘗試,因為券商系統的登入帳號大都是身份證字號。除此之外,國內那幾家知名網拍平台,也不時傳出有人被盜帳號去開詐騙賣場,結果帳號原持有人被叫去警局泡茶,這些都是一模一樣的手法。沒有概念的人,可以回頭去想想那些網拍平台被大規模盜帳號都是幾年前的事情了,就能知道這是多久之前就有的現象,只是這次終於延燒到 PTT 來而已。看站方的反應和處理方式,只能說站方的資訊人員真的安逸日子過太久了。