駭客論壇Raidsforum在5月9日發布了一則67萬筆臺灣民眾個資兜售的公告，從畫面截圖可看出至少有姓名、帳號、密碼、生日、地址等欄位。一名資安專家向我們通報，表示這批外洩個資是臺灣知名連鎖餐飲業者饗食天堂（母公司饗賓餐飲）在2011年～2016年的會員資訊。我們也在5月11日上午10點半向饗食天堂母公司饗賓餐飲查證，饗賓餐飲當時才得知3年前疑遭盜的舊資料重新被上網兜售的消息，不過，這批舊帳密早在2017年隨網站改版，已全數移除而失效，但饗賓餐飲今天仍緊急發公告通知顧客，表示他們先自己換密碼，後續也計畫採取強制重設密碼等對策，來降低風險。

饗賓餐飲集團是連鎖餐飲集團，旗下包括：饗食天堂、開飯川食堂、果然匯、饗泰多、朵頤牛排及饗饗等。饗賓餐飲資訊部經理吳忠諺表示，該公司在2017年曾經發生網站詐騙事件，在該資安事件後，重新架設了現行的官網和訂位系統。吳忠諺指出，該公司每年都針對OWAPS Top 10進行網站滲透測試，因應當時發生的舊會員外洩個資在駭客論壇販售事件，而目前為了確保會員權益，會先在網站以文字提示，建議會員儘速更新密碼，也會和合作的委外業者商量，透過系統性的處理方式，要求會員強制重設密碼，並強化後續相關的資安措施。

不具名資安專家指出，外洩的67萬筆舊個資中，因為包含了帳號、密碼、手機、生日等完整資訊，他建議，應該立即強制會員更新密碼，提供雙因素認證等具較高安全性的登入方式，以確保使用者登入網站時的安全性。

饗食天堂外洩舊個資完整性高，70元就可以買到67萬筆舊資料

對於饗食天堂在2017年6月曾爆發訂位網站出現詐騙事件，吳忠諺表示，當年除跟警局和165防詐騙專線報案外，也重新打造新的網站和訂位系統，花費200萬元，於2017年11月上線，所有會員則是全部重新註冊。

他說，當年警局並無法查到網站會員資料是如何外洩，這起案件迄今仍未結案，相關調查員警也都還定期和饗賓餐飲聯繫，希望能夠有其他的新事證可以破案。

而5月9日的個資兜售公告事件當中，不具名資安專家表示，這個Raidsforum駭客論壇是個資販售的最下游，在上面販售的個資往往已經是在暗網販售後，希望可以發揮剩餘價值的最後節點。從這一批販售的外洩饗食天堂舊會員個資中，有「最後登入時間」的欄位發現，這應該是2011年～2016年的舊個資。該名不具名資安專家表示，以目前網站販售價格為例，大概只要70元，就可以買到饗食天堂67萬筆舊會員個資。

為了以昭公信，販售個資的駭客也釋出部分測試資料，第一筆就是饗賓餐飲總監陳涵菁的資料，包括姓名、暱稱、姓名、生日、電子信箱、MD5密碼、手機號碼、地址，甚至包括最後登入日期和最後登入IP位址都有，資料完整性非常高。

外洩密碼採MD5加密方式，駭客已經破解出舊會員密碼

根據通報的資安專家對於這批外洩個資資料欄位的觀察，當年饗食天堂外洩舊個資中的密碼，雖然已經進行加密，但是採用加密等級較低的MD5雜湊函數，由於MD5早在1996年就被證實存在弱點，在2004年就也被證實MD5演算法無法防止碰撞（collision），所以，已經確定並不適用於各種安全性認證。

因為MD5演算法即便加密都如同明碼一般，該名資安專家指出，目前多會建議要使用各種加密服務的業者，可以採用加鹽（SALT）或者是SHA256等較嚴謹的加密演算法，以提供較高安全性各種安全性服務。

從此次駭客論壇外洩資料來看，MD5的密碼都已經被駭客集團完整比對出明碼密碼，付款取得該份個資的駭客可以透過資訊拼圖方式，使用現成的帳號、密碼、電子信箱，以及手機等相關資料，嘗試登入其他各大網站。

而且，舊個資外洩仍有殺傷力，因為許多網站使用者為了避免忘記密碼，會使用慣用密碼，該名資安專家指出，即便饗食天堂重新打造新的網站和訂位系統，並要求會員重新註冊，也很難阻止用戶繼續沿用舊密碼。

就使用效力而言，該名資安專家也針對這批外洩個資進行隨機登入實測，他發現，外洩資料上仍有帳號、密碼，以及電話號碼，能夠用來登入新網站。

確保網站會員個資安全性，將要求會員儘速更新密碼

為了提高網站的安全性，不具名資安專家建議，像是網站常見的「忘記密碼」的服務，應該是重新設置新密碼，而不是寄送舊密碼；其他也可以針對強化網站會員使用上的安全性，提供像是登入通知、簡訊密碼（雙因素認證）等，讓網站使用者更能留意自身登入網站時的安全性；至於其他資安防護上，資安專家也表示，像是新增類似WAF資安設備防護外，包括定期的滲透測試、紅隊演練等，也都是可以提高網站安全性的方式。

吳忠諺表示，確保饗食天堂網站會員個資安全性是當務之急，但因為該公司的網站和訂位系統是透過委外廠商協助建置，第一時間會在網站以文字跑馬燈方式，要求會員儘速變更密碼；但是否可以針對所有會員，由系統發送個別的密碼重設連結，並且禁用所有的舊密碼，他也承諾，將會在最短時間內要求委外廠商協助，進行網站會員密碼重設。