廣告
LINE集體遭盜多為台灣大用戶!數發部長:雙方問題疊加成漏洞 防護三招一次看
【記者陳力維/綜合報導】3月31日晚間國內爆發大規模的LINE帳號遭強制登出與盜用災情,受害者以原台灣之星(現已併入台灣大哥大)的用戶佔多數。國家通訊傳播委員會(NCC)與數發部證實,此事件起因於LINE的語音驗證機制與台灣之星預設的語音信箱密碼「0000」雙重問題疊加,讓不肖人士得以鑽漏洞攔截認證碼。數發部長林宜敬今(4/8)天表示,兩邊都不是很大的問題,但結合起來就是一個漏洞。目前主管機關與電信業者已在第一時間防堵漏洞、全面取消預設密碼,並呼籲民眾盡速完成個人化密碼設定與帳號雙重驗證,以免淪為詐騙集團的工具。
語音驗證與預設密碼疊加成致命漏洞
3月31日晚間起,許多LINE用戶無預警遭系統強制登出且無法再次登入,民眾除了擔憂個資外洩,更害怕綁定的LINE Pay、LINE Bank遭盜刷。
對此,數發部長林宜敬指出,這起事件中雙方(LINE與電信業者)的問題單看都不是很大,但結合起來就成了一個資安漏洞。NCC主秘黃文哲解釋,當民眾無法接聽電話時,LINE的語音認證機制會將認證號碼發送到語音信箱。然而,過去台灣之星為了方便客戶,將語音信箱密碼預設為「0000」,且允許透過其他市話或手機撥打接聽,這讓不肖人士得以輕易利用此漏洞竊取認證碼進而盜用帳號。
緊急防堵漏洞與後續救援機制
中央社報導,數發部表示,事件發生後,已在事態尚未擴散的最短時間內,通知業者將漏洞堵住。NCC則說明,目前已請台灣大哥大啟動防護機制,若有人企圖透過其他終端設備啟動語音信箱,系統將自動跳轉至客服,重新對該客戶進行身分確認(KYC)程序,用戶已無法再以密碼「0000」聽取語音信箱。
台灣大哥大也公告,針對尚未更改密碼的原台灣之星用戶,即日起全面取消預設密碼機制,強制用戶須自行完成個人化密碼設定。針對已經被盜用的受害者,若有綁定Google或Apple帳號,可透過驗證機制將帳號救回。
數發部也提醒,遭盜用的帳號極有可能被詐騙集團利用,後續相關法律責任需透過司法途徑釐清。雖然目前台灣大哥大接獲的客訴僅16件,但數發部評估實際受影響的民眾數量應遠高於此。
電信業者籲落實「資安三招」自保
為避免類似事件重演,台灣大哥大呼籲用戶應強化數位身分與通訊軟體的安全性,並提出三項防護建議:
一、首先是「落實語音信箱密碼管理」,用戶應撥打語音服務專線或透過APP自訂密碼,且應避免使用生日、連續數字或與手機號碼相同的易破解組合。
二、其次為「通訊軟體帳號安全檢查」,建議民眾定期變更密碼、啟動「雙重驗證」功能,並視需求關閉「允許自其他裝置登入」的設定。
三、最後則是「保持高度資安覺察」,面對不明簡訊或來路不明的「帳號恢復協助」連結,應提高警覺,切勿隨意點擊或操作,以保障個人的數位通訊安全。
