2013年5月8日 星期三

警方偵破古典音樂網站Muzik Online駭客入侵案


警方偵破古典音樂網站Muzik Online駭客入侵案

Muzik Online在今年2月底遭駭客入侵,駭客透過網站漏洞以SQL Injection攻擊,導致會員資料被竄改無法正常登入使用各項服務,刑事局調查出為施姓休學研究生所為,目前以依妨害電腦使用罪章送辦。

刑事警察局偵破古典音樂網站Muzik Online遭入侵案,施性駭客透過網站漏洞,以SQL Injection隱碼攻擊入侵,竄改該網站會員資料,駭客被依妨害電腦使用罪送辦。

Muzik Online以經營古典音樂社群為主,介紹古典樂迷國內外知名的演奏家、樂壇最新情報、知識及討論區,目前網站提供的服務均為免費性質,現在約有1.5萬會員。

2月底Muzik Online遭駭客入侵,駭客利用網站漏洞進行SQL Injection攻擊,竄改會員資料,因為已影響網站正常經營,經營Muzik Online的英屬維京群島商希幔數位向刑事局偵九隊請求偵辦。

經過入侵手法、IP位址追尋,刑事局查出一名國立大學已休學的施姓研究生涉案,週一宣佈破案,施姓休學研究生利用資訊背景知識,從網站漏洞植入攻擊指令,竄改Muzik Online超過1.2萬筆會員資料。

Muzik Online同時發表聲明指出,2月底事件發生時因駭客利用程式竄改所有網站會員名稱,導致許多會員無法登入或是頭像無法正常顯示,第一時間以備份資料恢復服務,並修補網站漏洞。並澄清網站被入侵後雖然資料庫異常、會員無法使用音樂服務,但會員資料並沒有被竊,對會員資料被竄改、無法登入造成的不便感到抱歉。另外,Muzik Online也以3萬元為獎金,鼓勵其他人主動向其舉報網站漏洞,以強化網站安全。

Muzik Online表示,因網站僅紀錄會員信箱帳號,加上登入密碼不是以明碼儲存,因此雖被駭客入侵,但沒有較敏感的會員個資被竊,駭客為展示其能力,竄改會員名稱導致會員無法登入,經內部還原資料、修復漏洞後,向刑事局報案請求調查,希望透過法律讓駭客走回正途。

刑事局表示,駭客利用國內許多網站普遍存在的漏洞進行攻擊,正研究其他網站是否也遭到相同手法入侵。建議其他網站慎防網站漏洞,提高對查詢字串、表單變數、關鍵字的過濾驗證,降低網站使用者的資料庫存取權限等等

轉載自《iThome》