作者hogarth1985 (扣一八一)
看板MobileComm
标题[讨论] 资安不重要?两起骇客攻击点数
时间Sun Oct 6 23:03:25 2024
记得多年前 台湾大哥大
amazing 手机有漏洞可以撷取简讯
造成多名使用者被列为诈欺关系人
当时还是很多乡民不相信资安要注意
还以“平民不是什麽大人物怕什麽”
“google跟apple美国掌握得更多”
结果这几个月
高铁Togo 会员点数
PChome预购点数金
纷纷被骇客入侵
造成许多使用者预缴费用
遭到盗用
并且很难取回
虽然有些人只是几千块到万元的损失
但这不就反过来打脸了当时
宣称不是大人物不会被盗
建议各位还是每个网站跟服务的帐号密码
不要全部都用同一组
现在还不知道使用哪个网站的帐密去撞出来的
也对被盗款项的平民给予祝福
希望司法能还给他们正义
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.200.6.125 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1728227008.A.FE6.html
1F:推 pcfox : Qwert1234567 10/06 23:07
2F:→ nisioisin : 高铁我不知道 10/06 23:08
3F:→ nisioisin : 台哥大的後门和这次PChome的事件责任都在业者身上 10/06 23:08
4F:→ nisioisin : 好吗 10/06 23:08
5F:→ nisioisin : 资料库外泄user要怎麽防? 10/06 23:08
6F:→ nisioisin : 而且就我所知“平民不是什麽大人物怕什麽”这种话 10/06 23:11
7F:→ nisioisin : 的使用情境怎麽会是对盗帐号消费 10/06 23:11
8F:→ nisioisin : 谁会觉得盗帐号消费和诈骗只会找大人物… 10/06 23:11
9F:推 kizo : 通常都是IT在耍白痴,跟是不是用同组密码无关 ,你 10/06 23:12
10F:→ kizo : 密码记不住记录下来更危险,就像有些老人会在提款 10/06 23:12
11F:→ kizo : 卡套子里塞写上密码的纸条一样 10/06 23:12
12F:→ hogarth1985 : 现在有两阶段简讯认证,但是这次是连简讯都被改掉 10/06 23:22
13F:→ hogarth1985 : 让持有人没办法获得通知,App也没有跳出来 10/06 23:22
14F:→ asdfghjklasd: 资安没做好有十段认证也没用 10/06 23:27
15F:推 chualex66 : 电话验证其实不可靠,Google如果你有其他验证方式 10/06 23:57
16F:→ chualex66 : 他会阻止你用电话验证。台湾愿意跟风搞TOTP或是Pa 10/06 23:57
17F:→ chualex66 : sskey的公司好像也没几个,不知道弄这些花不花钱? 10/06 23:57
18F:→ chualex66 : 不过这种事件感觉还是公司的资安纪律性最重要。 10/06 23:57
19F:→ yesonline : 呵呵 露天可以用Passkey 结果PCHOME却不行 ~ 10/07 00:01
20F:→ cityport : 平民跟大人物那个是从被监控的事件来的,不是盗刷 10/07 00:19
21F:→ cityport : 两个不同的事情,你还可以扯在一起 10/07 00:19
22F:→ paul40807 : 你提到的这几个论点是拿来说中国机通讯会被中共拦截 10/07 01:15
23F:→ paul40807 : 怎样怎样的情况吧 都是资安但谈的层面不太一样 10/07 01:15
24F:推 paul40807 : 这类关於金流的资安是全球性的 无论你的政治立场如 10/07 01:29
25F:→ paul40807 : 何 就是有人会盯上你的钱包 这个是跟每个人都有关系 10/07 01:29
26F:→ paul40807 : 的 能够自己掌控好的资安例如不乱装Apps啊 不乱点连 10/07 01:29
27F:→ paul40807 : 结 不乱给权限 不要什麽都下一步下一步 使用者能做 10/07 01:29
28F:→ paul40807 : 的就尽量做到 剩下的就是使用服务的时候挑选资安良 10/07 01:29
29F:→ paul40807 : 好的公司 像露天 博客来这种一天到晚外泄的就尽量别 10/07 01:29
30F:→ paul40807 : 用或是不要储值 其他的就听天由命 毕竟你永远不知道 10/07 01:29
31F:→ paul40807 : 骇客目前正在盯上的是哪间公司的钱 没有必要为了这 10/07 01:29
32F:→ paul40807 : 个风险牺牲太多方便 还有钱要留保险 要留一个有放钱 10/07 01:29
33F:→ paul40807 : 的帐户没有绑网银 没有绑行动支付 甚至是设定不开转 10/07 01:29
34F:→ paul40807 : 帐 支付系统尽量都用信用卡直扣而不是储值或是绑定 10/07 01:29
35F:→ paul40807 : 扣帐户 万一到时候你任何手机的资安有出意外自己都 10/07 01:29
36F:→ paul40807 : 能有後路 大概这样 10/07 01:29
37F:推 whitefox : 多用符号 10/07 02:55
38F:→ a79111010 : 难道你用iphone 你的pchome就没事? 10/07 03:03
39F:→ cityport : 不是中国机,是菱镜计画时有人说美国只监视大人物 10/07 05:23
40F:→ kaltu : SMS从来就不是安全通讯,跟中国机棱镜计画有个破关 10/07 05:55
41F:→ kaltu : 系 10/07 05:55
42F:→ kaltu : G7系统从来就不是安全系统而是walled garden 10/07 05:55
43F:→ kaltu : 只要上网花钱买一个国际电信交换协定骨干的global t 10/07 05:55
44F:→ kaltu : itle,你想收谁的电话简讯就收谁的电话简讯,受害者 10/07 05:55
45F:→ kaltu : 还不会知道有人把他的电话简讯收走了 10/07 05:55
46F:→ kaltu : 打从一开始就严格禁止把电话和简讯用作身份认证禁多 10/07 05:55
47F:→ kaltu : 少年了,银行、政府、登入平台依然故我装傻当没听见 10/07 05:55
48F:推 awin519 : 正确做法是侦测到可能非本人,就要做2FA才对 10/07 08:34
49F:推 rickieyang : 不觉得一般人资安就不重要,但个资外泄跟帐号被盗 10/07 09:10
50F:→ rickieyang : 用应该是两个不同事件吧! 10/07 09:10
51F:→ s78513221 : 公部门做2FA是要整死长辈吗 10/07 09:11
52F:→ s78513221 : 资安本身也没那麽重要,重要的是出问题谁负责背锅 10/07 09:12
53F:→ orz811017 : 难道你用iPhone就能躲过吗,这是两码子事情...你用 10/07 10:54
54F:→ orz811017 : 中国手机难道就一定有被盗用吗 10/07 10:54
55F:→ square4 : 简讯OTP跟TOTP等2FA都在浪费时间,还是会被钓鱼, 10/07 11:40
56F:→ square4 : 未来的方向就是支持Passkeys,长辈不懂可到实体分 10/07 11:40
57F:→ square4 : 行临柜办理,不构成阻碍升级验证安全性的理由 10/07 11:40
58F:推 Klauhal : 不同密码才是对的,多站同密码被盗,要改一堆网站 10/07 12:43
59F:→ x20165 : 也有可能有用第3方存储密码被泄漏 10/07 12:58
60F:嘘 SHENG2014 : 所以被入侵都是用中国机?还是台哥大卖出的 10/07 13:44
61F:→ SHENG2014 : 这是暗指台哥大卖出都手机都被安装後门? 10/07 13:45
62F:→ aq981334 : 这些被盗用跟大人物被窃听有什麽关系吗? 10/07 14:20
63F:嘘 allyourshit : 跟大人物无关 而是有没有价值才有关 10/07 18:48
64F:→ allyourshit : 然後资安做最好的就是银行业 网银被盗的新闻最後都 10/07 18:49
65F:→ allyourshit : 是自己人干的 网购业者有可以学习的对象不肯学怪我? 10/07 18:49
66F:推 s78513221 : 银行业怕金检来抽,网购业又不怕~ 10/07 18:54
67F:推 thomaschion : 所以这两件事跟民众有什麽屁关系?台哥大的手机上 10/07 22:08
68F:→ thomaschion : 市NCC完全不检验勒 10/07 22:08
69F:嘘 thomaschion : 而且一堆人跟你一样把隐私跟资安扯在一起讲 10/07 22:10
71F:→ yunf : 多得是你不知道的漏洞 这个圈圈跟世界上其他圈圈一 10/07 22:34
72F:→ yunf : 样都在玩弄资讯差 10/07 22:34
73F:→ manbow77 : 这两件例子属於伺服端被骇 用户端帐密已经没有意义 10/09 22:04
74F:→ manbow77 : 用户唯一能做的只有伺服端处理好後更新帐密 10/09 22:08
75F:→ manbow77 : 不要让可能已经流出的旧帐密可以继续用 10/09 22:08