http://www.cib.gov.tw/news/news01_2.aspx?no=1788

發稿時間 2007/9/21 下午 07:11:08
標題 偵辦駭客集團涉嫌入侵中○電信公司等級主機及國中學籍資料庫並竊取使用者帳號密碼等個人資料，妨害電腦使用罪等案
查獲時間 民國96年09月21日上午00時00分
查獲地點 臺北縣、桃園縣、苗栗縣
查獲嫌犯 蘇○○、林○○等2人
查獲贓證物 四台桌上型電腦、三台筆記型電腦、硬碟及隨身碟一批、現金存款單據。
查獲單位 臺灣臺北地方法院檢察署、刑事警察局科技犯罪防制中心、苗栗縣警察局刑警大隊、桃園縣警察局刑警大隊、桃園縣警察局中壢分局。



本案執行重點：
（一）駭客團體利用各式手法入侵全國各大知名網站，非法取 得會員帳號密碼及會員登記年籍身分資料。
（二） 駭客集團將竊取所得資料串連存放至國外網站主機，逃避追查。
（三）駭客集團將所竊取的資料，販售至補習班等，牟取暴利。
（四）駭客集團利用學術網路做為骨幹，將跳板主機隱藏於臺灣學術網路內。
案情摘要：
（一）本案係國內部分網站管理者近來發現網站遭人入侵並竊取會員資料，經本局偵查發現入侵來源為網址為國立○○大學網段，經派員至○○大學訪查該入侵主機，以電腦鑑識工具製作該主機硬碟之映像檔，經檢視該主機上之IRC(網路即時聊天)紀錄，發現未成年駭客林○○利用○○大學主機入侵台灣深○學生論壇，且竊取部分會員帳號密碼等資料。
（二）另經本局檢視該硬碟發現存有異常檔案「hixxxAll」及「pxx.PASSWD」，其中hixxxAll檔案內容為中○電信公司之電子郵件用戶帳號及密碼等資料(共2百多萬筆，若遭不法利用可窺視民眾之電子郵件，嚴重危害民眾隱私。)另pxx.PASSWD檔案內容為著名網路社群批○○實業坊(pxx.cc)之會員帳號、密碼、電子郵件、會員姓名及地址等資料(共數十萬筆)，研判係駭客入侵網站所竊取。
（三）由於中○電信公司為國內知名網路服務業者，批○○實業坊亦為臺灣知名的BBS站，而台灣深○學生論壇亦為知名學生論壇網站，遭竊取之資料均為使用者之機敏資料，嚴重危害民眾個人隱私，若遭不法利用更可能嚴重危害社會治安。
（四）本案經科技犯罪防制中心報告黃局長茂穗後，局長至表重視，特指派科技犯罪防制中心、苗栗縣警察局刑警大隊、桃園縣警察局刑警大隊及桃園縣警察局中壢分局共組專案小組積極查辦。經本專案小組深入蒐證後，於9月21日檢具相?事證分別向臺灣臺北地方法院檢察署及法院聲請搜索票，由臺北地方法院檢察署張主檢察官紹斌及蕭檢察官惠菁共同指揮及針對位於臺北縣、桃園縣、苗栗縣之駭客處所執行搜索，當場查扣四台桌上型電腦、三台筆記型電腦、硬碟及隨身碟一批、現金存款單據，帶案偵辦。
（五）經查國內部分不肖駭客已逐步串連，分工竊取資料，交由集團內成員統一整合，放置於國外網路主機伺機對外銷售圖利，並藉此逃避警方追查。惟本局在此次查緝過程中，赫然發現駭客團體分別利用社交工程法、file inclusion（檔案包含漏洞）、大陸公布的0day漏洞、利用路徑權限設定錯誤、SQL injection（資訊隱碼）、Cookie spoofing等方式，分別攻陷中○電信公司、批○○實業坊、台灣深○學生論壇、卡提○論壇、EZxxxx、無○小站、艾噹○學院及桃園縣部分國中學籍資料庫，取得大量之會員帳號密碼及桃園地區國中生之學籍資料。並取得PCxxxx網站原始程式碼及破解雅○、Gxxxxx主機正常登入程序，讓駭客集團可假冒他人身分，通過網站的驗證而成功登入。
＊名詞解釋
一、zero day attack (零時差攻擊)
駭客利在軟體漏洞尚未公佈或進行修補之前，即使用該漏洞進行入侵等攻擊行為，即所謂零時差攻擊。
二、路徑權限設定錯誤
意即未針對系統重要資料資料檔案設定使用權限，致使駭客能後任意切換目錄，並下載系統重要密碼檔案。
三、Sql injection (資料隱碼)
駭客通常在利用正常查詢網站資料時，將攻擊資料庫的指令(SQL)夾藏在正常資料中，以此避過網路防火牆，同時繞過身分認證機制，取得資料庫權限，在入侵系統後，進而竊取資料庫內容或是破壞資料庫。
四、Cookie spoofing
cookie是使用者於瀏覽特定網站時，該網站所留存於使用者電腦內用來記錄使用者瀏覽行為之檔案。通常該檔案內會存有使用者帳號等登錄資訊。駭客若能找出cookie內容之規則，即可以自製的「cookie spoof（cookie假造）」程式，針對帳號進行運算，產出假造之cookie，在未取得帳號密碼之情形下，即能登入該帳號，進行後續犯罪行為。
五、File inclusion (檔案包含路徑)
通常為網頁程式碼設計不當，駭客可以設定遠端包含檔案路徑，進而能夠設定其他包含路徑，放置網頁後門，執行敏感指令。

http://news.chinatimes.com/2007Cti/...31245+0,00.html

2007.09.21
駭客入侵各大知名網站　中華電信已二百四十多萬筆個資外洩
【中時電子報方佳怡／台北報導】

你被駭了嗎？刑事局科技犯罪防制中心今(二十一)日偵辦一起駭客集團入侵國內各大知名網站案，逮捕到一大、一小二名駭客，最令警方訝異的是，其中一名駭客蘇柏榕因其電腦專長，引發黑道覬覦，當時蘇父還將其送到刑事局打工要阻斷一切紛擾，沒想到才二年，蘇柏榕還是當起駭客，讓警方猛搖頭。
警方透露，駭客蘇柏榕酷愛電腦，曾陸續入侵國中基測電腦系統，查看自己的考試成績，還竊取考生資料，轉賣給補習班，最令警方印象深刻的則是，蘇嫌於九十二年三月三十一日入侵總統府網站，在網站首頁張貼「愚人節是國定假日，全國放假一天」的訊息。

警方指出，落網蘇嫌及林姓少年，分別受雇於一名幕後藏鏡人，蘇跟林二人彼此並不認識，但分別被要求入侵國內知名網站。

其中蘇柏榕負責中華電信公司及PTT實業坊；另一名未成年林姓少年則是負責台灣深藍學生論壇、卡提諾論壇、EZpeer、無名小站、艾噹洛學院及桃園縣部分國中學籍資料庫等單位，來取得大量會員帳號密碼及桃園地區國中生學籍資料。

警方清查後發現，其中蘇嫌已從中華電信竊取到二百四十多萬筆的用戶帳號及密碼；也於PTT實業坊拿到會員帳號、密碼、電子郵件、會員姓名及地址等四十多萬筆，由於警方發現二人將所竊得的個資全都放在國外主機內，懷疑遭竊個資應不只上述數量，不排除已達上千萬筆，目前正擴大偵辦中。

警方調查此案時發現，該駭客團體利用各式手法入侵全國各大知名網站，非法取得會員帳號密碼及會員登記年籍身分資料，並將竊取所得資料串連存放至國外網站主機，逃避追查，最令警方憂心的是，駭客集團利用學術網路做為骨幹，將跳板主機隱藏於臺灣學術網路內，以躲避警方查緝，目前刑事局正深入追查幕後的龐大駭客集團。





其中一位名字好像有看過，丟到google一找...............
http://www.libertytimes.com.tw/2005.../today-so18.htm
http://www.libertytimes.com.tw/2005...6/today-so1.htm
http://fenny.iou.idv.tw/index.php?s...00506&setday=15
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=22321
http://www.ettoday.com/2005/07/26/138-1822506.htm

PTT　好像８月還是７月不是就有一次出包
所有人都有管理者權限，那次就有一堆人到處說有ＸＸＸ的資料等等的

這報導中拿到的ＰＴＴ資料，說不定就是那次拿到的。。。

來改一下密碼好了,這年頭自己密碼沒外洩、電腦沒被盜用都還不保險...Orz

（二）另經本局檢視該硬碟發現存有異常檔案「hixxxAll」及「pxx.PASSWD」，其中
hixxxAll檔案內容為中○電信公司之電子郵件用戶帳號及密碼等資料(共2百多萬筆，若
遭不法利用可窺視民眾之電子郵件，嚴重危害民眾隱私。)另pxx.PASSWD檔案內容為
著名網路社群批○○實業坊(pxx.cc)之會員帳號、密碼、電子郵件、會員姓名及地址等
資料(共數十萬筆)，研判係駭客入侵網站所竊取。
==============================================

照刑事局公布的資料看起來
hinet的應該是只有EMAIL上的帳號加上加密編碼的密碼被摸走，
如果洞已經補好的話，趕快去改一改密碼大概就沒事了，反正一般人帳號大概也不會
有人花功夫一個一個去算密碼。 我猜唯一比較可能有害的是落入垃圾信業者手裡，
把帳號套上@ms?.hinet.net就有兩百萬筆正確名單了

PTT的話，.PASSWDS被摸走裡面東西就多了........
除了帳號和加密編碼過的密碼，還有姓名地址生日手機號碼EMAIL...之類的東西，
雖然填假資料的不少，不過用真資料的應該也滿多的，不知道這次要怎麼善後了？

不太一樣，那次只能透過bbs介面查其他帳號資料，拿不到系統下的檔案資料。
這次照刑事局公布的，似乎是.PASSWDS檔案被摸走。

不過也有人說那次出包好像也是這批人弄的？ 是真的還是謠言我就不知了。