所謂的「撞庫攻擊(Credential Stuffing)」,就是網路犯罪的其中一種手法,駭客會利用其他平台外洩的帳號密碼對接資料庫,自動嘗試登入另一個網站盜取會員帳號,這種此駭客手法通常是利用多數使用者「帳密共用」的習慣,盜用會員點數導致損失。
本案就是檢調之前偵辦高鐵TGo及「神坊公司-小樹生活」購物網遭駭時,查出Yang Lei以美國的Zenlayer.Inc伺服器,利用蒐集到的帳號密碼,搭配自動化程式攻擊電腦伺服器,盜取會員點數購買抵用券,再交給下手持抵用券購買3C產品,當時高鐵TGo與小樹會員的損失約76萬元。
檢調之後又接獲情資指出,PChome也自2024年10月2日到5日短短4天時間就遭駭客入侵,盜取會員儲值金121萬7332元後,去購買微軟XBOX數位禮品卡以及家樂福禮券,查出楊晟杰及楊森達、傅尉傑、林偉荏等4人去網購商品。
檢調深入追查發現,楊晟杰、楊森達、傅尉傑、林偉荏4人與暱稱「Check」的不詳人士,與境外駭客「Yang Lei」聯手,由「Yang Lei」於2024年10月2日至同年10月5日,以「撞庫方式」入侵PChome伺服器,盜取「PChome 24h購物」會員帳密及儲值金121萬7332元後,以盜得的儲值金購買「Microsoft微軟Xbox數位禮品卡」、「家樂福電子禮券」及「全家1000元虚擬禮物卡」,楊晟杰及「Check」再安排將「家樂福電子禮券」分别存入楊森達、傅尉傑、林偉荏的家樂福會員帳戶,3人再以此購買商品。
北檢認定楊晟杰等4人涉犯《組織犯罪防制條例》、偽造文書、詐欺取財及妨害電腦使用等罪,而4人與境外駭客聯手破壞社會安定及經濟秩序,因此對楊晟杰求處2年6月徒刑,楊森達、傅尉傑、林偉荏則各求刑1年4月。
