懶人包重點:
・台灣大用戶爆 LINE 大量被盜問題: 駭客主要利用電信業者預設的弱密碼,透過遠端聽取功能竊取 LINE 語音驗證碼。建議立即更改語音信箱預設密碼。
・此事件暴露出 LINE 語音驗證機制未充分防範長久以來的語音信箱漏洞,以及電信業者(特別是台灣大哥大針對原台灣之星用戶)未強制更改預設密碼的嚴重資安管理問題。
「我的 LINE 因為台灣大哥大的語音信箱漏洞而被盜!資料全沒了!」
這個發生在愚人節前後大量發生的問題,相信是許多 LINE 通訊軟體的愛用者最不希望看到的愚人節笑話,或該說,如果真的只是個笑話就好了。
因為根據許多人在社群上的案例分享,是提到基本上遇到這次利用電信商疏忽漏洞,導致駭客得以透過竊聽語音信箱取得 LINE 身份驗證碼的問題發生。
對於無辜的使用者而言,就是發現自己即使根本沒亂點、沒亂傳或者做任何會導致資料外洩問題的行為,結果還是在這波從 1 月開始就陸續傳出發生被盜問題的受災戶。
▲圖片來源:twilio
「LINE 愚人節之亂」大量用戶帳號被盜問題懶人包
所以,到底 LINE 帳號被盜跟台灣大哥大、語音信箱服務還有 LINE 傳訊服務三者之間有什麼樣的關係?
這次的問題用最簡單的方式解釋,就是駭客透過下面的步驟「靜悄悄地」摸走了大量使用者的 LINE 帳號:
- 取得你 LINE 所使用的手機號碼 -> 可能是非法管道又或者是直接暴力破解。
- 以電話號碼登入 LINE 帳號,觸發 OTP 身份驗證簡訊機制。
- 進入「輸入認證碼」頁面,駭客選擇「使用電話認證」。
- 使用者未接到電話(或懷疑是詐騙電話不接)進入語音信箱。
- 駭客透過便利使用者的「遠端聽取功能」,以預設密碼聽取語音信箱內容。
- LINE 帳號成為駭客囊中之物。
自保策略懶人包
快去更改你的語音信箱預設密碼!
快去更改你的語音信箱預設密碼!
快去更改你的語音信箱預設密碼!
- 台灣大哥大:手機撥打 123 會有語音導引(目前針對原台灣之星用戶會直接引導更改才能進入系統)。
- 遠傳電信:手機撥打 222 會有語音導引變更密碼。
- 中華電信:手機撥打 777,選擇 3 更改密碼。
PS:雖然不少報導都建議關閉語音信箱,但認真講如果關閉這個備援服務很可能在你訊號範圍外時,可能會導致你漏接重要的緊急電話。加上這次的問題核心其實跟語音信箱服務本身關係不大(除非語音信箱驗證是可以無限試錯之類的),因此我們並不這樣建議。
除此之外,如果你真的有發生類似的狀況並且在 LINE 的協助下取回帳號的話,也建議去檢視一下,過去有透過 LINE 登入的服務是否有受到影響。
重大漏洞節點
以上,相信有一點資安知識的讀者,應該都會察覺有很多節點看起來很~~~不對勁。所以底下也補充一些目前已知的相關資訊。
為什麼這波會是「台灣大哥大」用戶大量被盜?
首先,既然基本上只要是電信業者基本上都有語音信箱服務。那麼為什麼這波是台灣大哥大的用戶成為重災區呢?
目前台灣大哥大將問題的核心,歸咎到收購台灣之星之後轉移的用戶,因為過去沒有更改過語音信箱的預設密碼,所以才會這麼輕易地被駭客利用這次語音信箱遠端聽取功能取得 LINE 驗證碼資料。
對於這個嚴重的漏洞問題,台灣大哥大有發出聲明表示已經會在這些用戶撥打 123 進入語音系統時,主動提示需要變更遠端聽取預設密碼。並且已經全面取消了預設密碼機制。還強調舊有的台灣大哥大用戶,在啟用門號前本來就有必須完成密碼設置的機制,因此安全無虞。
還很貼心地提醒使用 LINE 的用戶開啟雙重驗證或是「保持高度資安覺察」。
不過筆者認為,單就「保持高度資安覺察」這點來說,身為三大電信商業者的台灣大哥大當初會沒注意到這個漏洞就已是難辭其咎。因此,個人會認為台灣大哥大應該做的事情,是第一時間就應該要主動發簡訊提醒原台灣之星用戶更改預設密碼,甚至是對於這樣的疏忽進行道歉。
值得一提的是,我們也認為 LINE 服務本身的資安設計也存在值得商確之處,我們將在文末深入探討。
接起電話不就好了嗎?
根據目前網路上的猜測,這部分可能與一些詐騙電話,接起來就掛斷的模式有所關聯。加上包括筆者自己,也會在睡眠時開啟勿擾模式,因此說真的駭客也不見得一定要針對使用者的作息做什麼複雜分析,只要在夜深人靜的時候賭一下用戶不見得能接到電話就好。
使用者在沒進行登入卻收到 OTP 通知時,可能更會讓人認為 LINE 的登入機制可能已經幫忙擋下駭客行為了。甚至可能導致最關鍵的電話驗證階段讓人更不想要接起電話 - 殊不知,這種過往被認為有效的被動防範,這次卻會讓駭客輕鬆盜取你的帳號。
更因為如此這次的 LINE 帳號盜取方式,實務上更是讓人難以在當下進行防範。畢竟,在此之前誰會想到,會有電信業者疏忽了這麼基本的隱私設定問題呢。
為何此次事件暴露 LINE 與台灣大哥大的嚴重資安疏漏?
追根究底,就目前的跡象來看是因為 LINE 本身的資安機制不夠健全。重點是這甚至還沒去深究,LINE 用戶的電話號碼資料外洩的問題(特別是還要精準到可以瞄準原台灣之星用戶的資料) <- 其實這個問題超大。
這點搭配近期開始營造付費牆的限制(像是收回訊息的功能)並開始收起費來的作法,說真的會給人有點諷刺的感覺 - 就,最基礎最基礎的資安機制沒做好,卻急著想要向使用者收費的負面感受。
▲圖片來源:twilio
為什麼會這樣講,是因為在稍微搜尋了一下相關的資料後會發現,讓 Voice OTP 語音驗證碼進入語音信箱的這種資安漏洞問題,其實早在 2018 年就已經有相關的警告。甚至早在 2017 年,美國政府就有相關的文件「指引」如果不能確保驗證的裝置能進行唯一身分驗證的話,就不應該用於身份驗證。
顯見包括台灣電信商以及相關驗證技術的業者,真的是對於這樣老舊的漏洞問題難辭其咎,應該要好好負起責任來,而不是讓一群使用者紛紛跑去找設定關閉屬於自己使用權益的語音信箱服務。
甚至相關業者如果執意要提供這樣的服務的話,目前也有能藉由主動(要求按下按鍵)與被動(偵測語音特徵)等的「答錄機偵測」技術存在。
因此,無論是 LINE 身分驗證機制可以避免進入語音信箱還傻傻地念出驗證碼,又或者是電信業者可以主動阻擋或針對來自身分驗證門號的資訊進行更深度的加密提示(更何況現在 AI 技術這麼多!)。
以上這些都是,在這次 LINE 被盜狀況所突顯出的資安機制薄弱問題後,值得業者深思並應該嘗試為使用者提供更多資料安全把關的重點。而不是把問題推給語音信箱就彷彿問題解決了一樣。
也因為如此,在電信業者與服務方拿出更好的對策之前,身為使用者本身,大概就是盡可能使用兩階段認證之類的機制了 - 只是 LINE 主帳號登入是不是還是以簡訊為主?那...(小編顯示為:默默看向遠方)
--
延伸閱讀:
iPhone 17e 開箱體驗:我的平價版 Air
![台灣大用戶爆LINE大量被盜 突顯語音信箱資安漏洞(懶人包)2701|LINE,資安漏洞,台灣大哥大,語音信箱|小老婆汽機車資訊網]()
--
LINE, 資安漏洞, 台灣大哥大, 語音信箱
本文章最後由 rOsS.W 於 2026-4-2 10:09 編輯
|
0
107
