当前位置:首页  互联网

互联网

骇客论坛惊见兜售67万笔知名餐饮3年前外洩顾客帐密飨食天堂虽早已翻新网站但仍紧急通知顾客换密码

2021-02-20 07:07:47

国外骇客论坛Raidsforum兜售67万笔台湾连锁餐饮业者飨食天堂2011年~2016年个资,只需要花70元就可以ㄍ只需要花70元就可以买到。

骇客论坛Raidsforum在5月9日发布了一则67万笔台湾民众个资兜售的公告,从画面截图可看出至少有姓名、帐号、密码、生日、地址等栏位。一名资安专家向我们通报,表示这批外洩个资是台湾知名连锁餐饮业者飨食天堂(母公司飨宾餐饮)在2011年~2016年的会员资讯。我们也在5月11日上午10点半向飨食天堂母公司飨宾餐饮查证,飨宾餐饮当时才得知3年前疑遭盗的旧资料重新被上网兜售的消息,不过,这批旧帐密早在2017年随网站改版,已全数移除而失效,但飨宾餐饮今天仍紧急发公告通知顾客,表示他们先自己换密码,后续也计画採取强制重设密码等对策,来降低风险。

飨宾餐饮集团是连锁餐饮集团,旗下包括:飨食天堂、开饭川食堂、果然汇、飨泰多、朵颐牛排及飨飨等。飨宾餐饮资讯部经理吴忠谚表示,该公司在2017年曾经发生网站诈骗事件,在该资安事件后,重新架设了现行的官网和订位系统。吴忠谚指出,该公司每年都针对OWAPS Top 10进行网站渗透测试,因应当时发生的旧会员外洩个资在骇客论坛贩售事件,而目前为了确保会员权益,会先在网站以文字提示,建议会员儘速更新密码,也会和合作的委外业者商量,透过系统性的处理方式,要求会员强制重设密码,并强化后续相关的资安措施。

不具名资安专家指出,外洩的67万笔旧个资中,因为包含了帐号、密码、手机、生日等完整资讯,他建议,应该立即强制会员更新密码,提供双因素认证等具较高安全性的登入方式,以确保使用者登入网站时的安全性。

飨食天堂外洩旧个资完整性高,70元就可以买到67万笔旧资料

对于飨食天堂在2017年6月曾爆发订位网站出现诈骗事件,吴忠谚表示,当年除跟警局和165防诈骗专线报案外,也重新打造新的网站和订位系统,花费200万元,于2017年11月上线,所有会员则是全部重新注册。

他说,当年警局并无法查到网站会员资料是如何外洩,这起案件迄今仍未结案,相关调查员警也都还定期和飨宾餐饮联繫,希望能够有其他的新事证可以破案。

而5月9日的个资兜售公告事件当中,不具名资安专家表示,这个Raidsforum骇客论坛是个资贩售的最下游,在上面贩售的个资往往已经是在暗网贩售后,希望可以发挥剩余价值的最后节点。从这一批贩售的外洩飨食天堂旧会员个资中,有「最后登入时间」的栏位发现,这应该是2011年~2016年的旧个资。该名不具名资安专家表示,以目前网站贩售价格为例,大概只要70元,就可以买到飨食天堂67万笔旧会员个资。

为了以昭公信,贩售个资的骇客也释出部分测试资料,第一笔就是飨宾餐饮总监陈涵菁的资料,包括姓名、暱称、姓名、生日、电子信箱、MD5密码、手机号码、地址,甚至包括最后登入日期和最后登入IP位址都有,资料完整性非常高。

外洩密码採MD5加密方式,骇客已经破解出旧会员密码

根据通报的资安专家对于这批外洩个资资料栏位的观察,当年飨食天堂外洩旧个资中的密码,虽然已经进行加密,但是採用加密等级较低的MD5杂凑函数,由于MD5早在1996年就被证实存在弱点,在2004年就也被证实MD5演算法无法防止碰撞(collision),所以,已经确定并不适用于各种安全性认证。

因为MD5演算法即便加密都如同明码一般,该名资安专家指出,目前多会建议要使用各种加密服务的业者,可以採用加盐(SALT)或者是SHA256等较严谨的加密演算法,以提供较高安全性各种安全性服务。

从此次骇客论坛外洩资料来看,MD5的密码都已经被骇客集团完整比对出明码密码,付款取得该份个资的骇客可以透过资讯拼图方式,使用现成的帐号、密码、电子信箱,以及手机等相关资料,尝试登入其他各大网站。

而且,旧个资外洩仍有杀伤力,因为许多网站使用者为了避免忘记密码,会使用惯用密码,该名资安专家指出,即便飨食天堂重新打造新的网站和订位系统,并要求会员重新注册,也很难阻止用户继续沿用旧密码。

就使用效力而言,该名资安专家也针对这批外洩个资进行随机登入实测,他发现,外洩资料上仍有帐号、密码,以及电话号码,能够用来登入新网站。

确保网站会员个资安全性,将要求会员儘速更新密码

为了提高网站的安全性,不具名资安专家建议,像是网站常见的「忘记密码」的服务,应该是重新设置新密码,而不是寄送旧密码;其他也可以针对强化网站会员使用上的安全性,提供像是登入通知、简讯密码(双因素认证)等,让网站使用者更能留意自身登入网站时的安全性;至于其他资安防护上,资安专家也表示,像是新增类似WAF资安设备防护外,包括定期的渗透测试、红队演练等,也都是可以提高网站安全性的方式。

吴忠谚表示,确保飨食天堂网站会员个资安全性是当务之急,但因为该公司的网站和订位系统是透过委外厂商协助建置,第一时间会在网站以文字跑马灯方式,要求会员儘速变更密码;但是否可以针对所有会员,由系统发送个别的密码重设连结,并且禁用所有的旧密码,他也承诺,将会在最短时间内要求委外厂商协助,进行网站会员密码重设。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。