| ||||||||||||||||||||||||
(一)本案緣係全國知名古典音樂網站在今年3月間發現疑遭駭客入侵會員資料庫,並造成12,428筆會員帳號資料遭竄改,嚴重影響該公司營業利益,特向本局偵九隊報案訴請依法偵辦 ,本隊獲報後即與本局研發室成立專案小組深入追查。經透過本局數位鑑識專家縝密比對分析被害公司所提供資料庫檔案,得知駭客係利用SQL injection(資料隱碼攻擊)手法針對該網站漏洞進行攻擊取得權限進而更改資料。所謂SQL injection(資料隱碼攻擊)是指在SQL指令當中,嵌入一個惡意程式碼,來取得資料庫系統的控制權,進而達到資料庫毀損或是資料流失。這種攻擊最大的特色在於可以通過防火牆和身份驗證的機制,取得資料庫系統的控制權。而駭客只要輸入特殊的命令,就可以達到這樣的功能。 (二)專案小組仔細分析其入侵手法與IP連線紀錄循線追查出犯罪嫌疑人施○○涉案重大,經報請臺灣士林地檢署(泰股)朱俊銘檢察官指揮偵辦,並於本(102)年5月1日前往嫌犯住處實施搜索,當場查扣涉案用蘋果筆記型電腦之贓證物。經查施姓嫌犯具有資訊專業背景,坦承為測試自身能力未經該網站經營者同意,在該網站輸入特殊字元進行SQL injection入侵該網站,造成該網站多筆會員資料遭到更改,渠供稱在犯案之前就已知國內還有許多網站普遍存在這種資安漏洞,本隊刻正擴大追查是否有其他網站遭同樣犯罪手法入侵受害。 (三)警方在此呼籲國內各網站業者對於SQL injection的基本漏洞應多加防範:1、在網站的查詢字串、表單變數和cookie值需進行驗證,並將可疑的關鍵字(--;1=1;’and 1=1等)和特殊字元過濾。2、網站發生錯誤訊息網頁時,防止內部伺服器和網站架構之錯誤訊息洩露。3、一般使用者所使用的資料庫帳戶,盡量設置在最低存取資料庫權限。4、使用SQL Server資料庫內建的安全參數。5、使用專業的程式弱點掃瞄工具來修正應用系統所隱含的漏洞以避免遭駭客攻擊造成巨大損失,同時警方也呼籲網路使用者應有正確的使用觀念,凡無故入侵他人電腦、破解密碼、登入帳號、變更電磁紀錄等皆會觸犯相關刑法妨害電腦使用罪章,千萬不要以身試法,勿因一時輕忽而造成終生遺憾得不償失。 | ||||||||||||||||||||||||
相關網路新聞:
http://www.ithome.com.tw/itadm/article.php?c=80186
http://www.nownews.com/2013/05/06/91-2934958.htm
http://www.chinatimes.com/realtimenews/駭客入侵古典音樂網站-竄改上萬筆會員資料-20130506001579-260402
http://tw.news.yahoo.com/與電腦高手爭辯資安-研究生-駭-贏卻觸法-190100776.html
http://news.sina.com.tw/article/20130506/9530797.html
http://www.libertytimes.com.tw/2013/new/may/6/today-so11.htm?Slots=BSoMore
http://beta.ltn.com.tw/news.php?no=676624&class=paper&category=society
沒有留言:
張貼留言