國外駭客論壇Raidsforum兜售67萬筆臺灣連鎖餐飲業者饗食天堂2011年~2016年個資,只需要花70元就可以ㄍ只需要花70元就可以買到。

駭客論壇Raidsforum在5月9日發布了一則67萬筆臺灣民眾個資兜售的公告,從畫面截圖可看出至少有姓名、帳號、密碼、生日、地址等欄位。一名資安專家向我們通報,表示這批外洩個資是臺灣知名連鎖餐飲業者饗食天堂(母公司賓餐飲)在2011年~2016年的會員資訊。我們也在5月11日上午10點半向饗食天堂母公司賓餐飲查證,賓餐飲當時才得知3年前疑遭盜的舊資料重新被上網兜售的消息,不過,這批舊帳密早在2017年隨網站改版,已全數移除而失效,但賓餐飲今天仍緊急發公告通知顧客,表示他們先自己換密碼,後續也計畫採取強制重設密碼等對策,來降低風險。

賓餐飲集團是連鎖餐飲集團,旗下包括:饗食天堂、開飯川食堂、果然匯、饗泰多、朵頤牛排及饗饗等。賓餐飲資訊部經理吳忠諺表示,該公司在2017年曾經發生網站詐騙事件,在該資安事件後,重新架設了現行的官網和訂位系統。吳忠諺指出,該公司每年都針對OWAPS Top 10進行網站滲透測試,因應當時發生的舊會員外洩個資在駭客論壇販售事件,而目前為了確保會員權益,會先在網站以文字提示,建議會員儘速更新密碼,也會和合作的委外業者商量,透過系統性的處理方式,要求會員強制重設密碼,並強化後續相關的資安措施。

不具名資安專家指出,外洩的67萬筆舊個資中,因為包含了帳號、密碼、手機、生日等完整資訊,他建議,應該立即強制會員更新密碼,提供雙因素認證等具較高安全性的登入方式,以確保使用者登入網站時的安全性。

饗食天堂外洩舊個資完整性高,70元就可以買到67萬筆舊資料

對於饗食天堂在2017年6月曾爆發訂位網站出現詐騙事件,吳忠諺表示,當年除跟警局和165防詐騙專線報案外,也重新打造新的網站和訂位系統,花費200萬元,於2017年11月上線,所有會員則是全部重新註冊。

他說,當年警局並無法查到網站會員資料是如何外洩,這起案件迄今仍未結案,相關調查員警也都還定期和賓餐飲聯繫,希望能夠有其他的新事證可以破案。

而5月9日的個資兜售公告事件當中,不具名資安專家表示,這個Raidsforum駭客論壇是個資販售的最下游,在上面販售的個資往往已經是在暗網販售後,希望可以發揮剩餘價值的最後節點。從這一批販售的外洩饗食天堂舊會員個資中,有「最後登入時間」的欄位發現,這應該是2011年~2016年的舊個資。該名不具名資安專家表示,以目前網站販售價格為例,大概只要70元,就可以買到饗食天堂67萬筆舊會員個資。

為了以昭公信,販售個資的駭客也釋出部分測試資料,第一筆就是賓餐飲總監陳涵菁的資料,包括姓名、暱稱、姓名、生日、電子信箱、MD5密碼、手機號碼、地址,甚至包括最後登入日期和最後登入IP位址都有,資料完整性非常高。

外洩密碼採MD5加密方式,駭客已經破解出舊會員密碼

根據通報的資安專家對於這批外洩個資資料欄位的觀察,當年饗食天堂外洩舊個資中的密碼,雖然已經進行加密,但是採用加密等級較低的MD5雜湊函數,由於MD5早在1996年就被證實存在弱點,在2004年就也被證實MD5演算法無法防止碰撞(collision),所以,已經確定並不適用於各種安全性認證。

因為MD5演算法即便加密都如同明碼一般,該名資安專家指出,目前多會建議要使用各種加密服務的業者,可以採用加鹽(SALT)或者是SHA256等較嚴謹的加密演算法,以提供較高安全性各種安全性服務。

從此次駭客論壇外洩資料來看,MD5的密碼都已經被駭客集團完整比對出明碼密碼,付款取得該份個資的駭客可以透過資訊拼圖方式,使用現成的帳號、密碼、電子信箱,以及手機等相關資料,嘗試登入其他各大網站。

而且,舊個資外洩仍有殺傷力,因為許多網站使用者為了避免忘記密碼,會使用慣用密碼,該名資安專家指出,即便饗食天堂重新打造新的網站和訂位系統,並要求會員重新註冊,也很難阻止用戶繼續沿用舊密碼。

就使用效力而言,該名資安專家也針對這批外洩個資進行隨機登入實測,他發現,外洩資料上仍有帳號、密碼,以及電話號碼,能夠用來登入新網站。

確保網站會員個資安全性,將要求會員儘速更新密碼

為了提高網站的安全性,不具名資安專家建議,像是網站常見的「忘記密碼」的服務,應該是重新設置新密碼,而不是寄送舊密碼;其他也可以針對強化網站會員使用上的安全性,提供像是登入通知、簡訊密碼(雙因素認證)等,讓網站使用者更能留意自身登入網站時的安全性;至於其他資安防護上,資安專家也表示,像是新增類似WAF資安設備防護外,包括定期的滲透測試、紅隊演練等,也都是可以提高網站安全性的方式。

吳忠諺表示,確保饗食天堂網站會員個資安全性是當務之急,但因為該公司的網站和訂位系統是透過委外廠商協助建置,第一時間會在網站以文字跑馬燈方式,要求會員儘速變更密碼;但是否可以針對所有會員,由系統發送個別的密碼重設連結,並且禁用所有的舊密碼,他也承諾,將會在最短時間內要求委外廠商協助,進行網站會員密碼重設。


Advertisement

更多 iThome相關內容