撞庫攻擊PChome網站盜取會員點數 駭客詐121萬元被起訴
2024年10月間,PChome網站遭到駭客以「撞庫方式」攻擊,在短短4天內盜取多名會員密碼及儲值金共計121萬7332元,調查局資安工作站獲報後查出其4名駭客的真實身分移送台北地檢署偵辦,檢察官將4人依涉犯《刑法》妨害電腦使用等罪起訴。
撞庫攻擊(Credential Stuffing)是一種網路犯罪手法,駭客利用從其他平台外洩的帳號密碼對話資料庫,自動化地嘗試登入另一個網站,盜用會員帳號。此手法利用多數使用者「帳密共用」的習慣,常導致點數盜用、隱私外洩等金融損失。
檢調查出,楊晟杰、楊森達、傅尉傑、林偉荏,暱稱「Check」身分不詳者,與境外駭客「Yang Lei」(美國Zenlayer.IncVPS服務租用人)合作,先由「Yang Lei」於2024年10月2日至同年10月5日,以「撞庫方式」入侵網路家庭國際資訊股份有限公司伺服器,盜取該公司線上購物網站「PChome 24h購物」會員帳號密碼及PChome儲值金121萬7332元。
他們事後再以儲值金購買美商Microsoft公司的「Microsoft微軟Xbox數位禮品卡」、家福股份有限公司「家樂福電子禮券」及全家便利商店股份有限公司「全家1000元虚擬禮物卡」,最後,楊晟杰及暱稱「Check」安排,將購得之「家樂福電子禮券」分别存入楊森達、傅尉傑、林偉荏的家樂福公司會員帳戶,3人再用禮券購買商品。
台北地檢署調查後,將4人依《組織犯罪防制條例》、《刑法》偽造文書、詐欺取財及《妨害電腦使用》等罪提起公訴。檢方審酌,4人正值青壯,不思循正當途逕賺取財物,與境外駭客聯手破壞社會安定及經濟秩序,對楊晟杰求處2年6月徒刑,楊森達、傅尉傑、林偉荏則各求刑1年4月。