有不肖份子收购外泄帐密，尝试非法登入国内多家电商网购平台，东森5会员遭盗刷，近日刑事局逮捕嫌犯

近日，警政署刑事警察局公布侦破一起国内电商盗刷事件，指出有电商公司在今年2月中旬发现，有不明人士透过撞库攻击手法，得以非法登入会员账号，并造成5名会员损失23万元，警方在3月接获报案，经搜证并向台湾新竹地方法院声请搜索票后，现已逮捕24岁的许姓嫌犯。

这起事件发生在东森购物网站，包括中央社等媒体已从警方获此资讯。但值得注意的是，后续我们向警方洽询，才得知该嫌犯其实曾经针对多家知名网购平台进行撞库攻击，有些事件仍在侦办中。

基本上，俗称撞库攻击的手法，就是在资安新闻里面经常被提及的帐密填充攻击（Credential Stuffing Attacks）。简单来说，嫌犯取得网络上已外泄的使用者账号与密码，之后尝试登入于其他网站服务，就有机会成功登入。

这种攻击之所以能奏效，就是因为有用户在不同服务中，使用了同样的账号与密码，只要其中一个网站的使用者数据库外流，等于自己在其他网站服务使用的帐密也外流。

对于东森购物用户遭盗刷的事件，相关公告与报导并未针对细节说明，只提及撞库攻击手法一旦攻击成功，就窜改会员电子信箱并破解会员信用卡验证码，以及指出嫌犯只有国中毕业的学历，犯案技术是网络上自学而来。对于详细的盗刷情形，我们联系到刑事局侦察第九大队（第二队）队长罗聪兴，他表示，该电商是在2月中旬发现，自家电商网站服务有登入异常情形，而警方是在3月接获他们报案。

在调查结果中，该嫌犯先是透过撞库攻击手法，尝试取得东森购物网站用户的登入权限，一旦非法登入成功，嫌犯会变更用户的电子邮件信箱，使原用户被盗刷当下，无法收到电商寄出的通知信。

至于嫌犯是如何窃取使用者信用卡资料？罗聪兴表示，主要是用户在网站上储存了信用卡资料，接下来，嫌犯会利用暴力破解方式，找出正确的信用卡背面3位验证码。

另外我们好奇的是，既然嫌犯已经取得外泄帐密，除了东森购物，其他购物网站或平台是否也有同样情况。对此，罗聪兴表示，该嫌犯以撞库攻击手法尝试非法登入，多家知名电商都有遭遇，但因为受理报案单位不同，还没有并案处理。由于还在侦办中，不便透露，因此，关于哪间电商最早受害？或是最早发现报案？或是不受影响？或是有多名受害者出现才警觉等问题，他无法给予我们答复。

整体而言，这次针对电商的攻击事件，还有一些状况需要再厘清。对于同样是受害者的电商业者，我们也正在联系东森购物当中，希望了解他们如何发现购物网站出现登入异常，有多少账户遭非法登入，以及验证码为何可轻易被暴力破解？可惜，直到截稿为止，他们尚未答复。

基本上，民众信用卡若遭盗刷，只要即时向发卡银行客服联系处理，通常待银行查证属实后，消费者无须负担盗刷费用，这已经行之有年。而在警方稍早公布的资讯中，也曾说明消费者向银行表示信用卡遭盗刷，本身并没有购买游戏点数后，而银行调查后已确认责任归属，就不会向消费者请款，也不会付款给电商公司，这表示电商公司需自行负责这方面的损失。

此案也突显几个资安议题，首先，在网站服务异常登入侦测方面，电商应有足够的能力及早察觉异常情形，而使用者也需体认到网站帐密外泄的情形相当频繁，因此，要有这方面的意识而不应该使用相同帐密于不同网站。而多因素验证的机制，更是少见于国内网络购物平台。

事实上，为防范骇客以此手法取得我们在网站上的身份，近年浏览器就有相关提醒机制。例如，Firefox已整合Have I Been Pwned（HIBP）网站，提供Firefox Monitor，Chrome现在也内建通知密码外泄的功能，都是要呼吁使用者自保，确认自己的账号，可能受到那些资料外泄事件影响。

其次，在购物网站储存信用卡资料方面，虽然带来了方便，下次购物可以不用重新输入，但平台业者需考量这方面资料的储存安全，以及用户账号安全，而使用者也该注意相关风险，或是考量已使用代码化技术的电子支付，而不需要再将信用卡号输入或储存至网站服务，降低真实信用卡号的外曝风险。