Re: [討論] 疑似 PCHOME 資料庫外洩 鎖定高儲值帳號盜用
風傳媒也報導了,數發部問過pchome
應該也是定調了,最少政府有注意到這個事件了就是
麻煩你們各位使用者,密碼不要都完全一樣啊
立委關注民眾反映網購平台帳戶被盜用,個人儲值金遭用光。數發部今天表示,駭客採撞庫擊,蒐集已被公開揭露的個人資訊,到各家網站測試登入,業者已把用戶登出、重新登入驗證,呼籲民眾密碼應採多種驗證方式,避免被盜用。
立法院交通委員會今天邀數發部長黃彥男、國家通訊傳播委員會(NCC)代理主委翁柏宗、行政院打擊詐欺指揮中心、法務部、內政部警政署、金管會就「我國打詐成效與防制」進行專題報告,並備質詢。
Pchome被盜「用戶儲值金被用光」
民進黨立委李昆澤質詢時提到,最近有知名網路購物平台遭民眾質疑使用者資料庫被盜,民眾帳戶儲值金被用光,數發部是否有協助平台加強個資防護與因應。
數發部數位產業署副署長林俊秀表示,已經跟業者聯繫,駭客採用撞庫攻擊,在網站上蒐集已經被公開揭露的個人資訊,到各家網站測試,運用自動化技術可以大量測試,有些消費者可能在多個網站都使用同一組密碼,因此駭客很常有機會可以闖關登入成功。
Pchome緊急處理!數發部籲:多重驗證更安全
林俊秀會中受訪時指出,Pchome有發現這個狀況,目前業者是先把有使用儲值金者先登出,再請當事人重新登入、透過OTP(一次性動態密碼)再次驗證,再請當事人修改密碼,避免類似狀況發生。
黃彥男表示,相關狀況都有掌握,現在有很多技術可以防止密碼被盜用,民眾應該要啟用多因子驗證,除了密碼之外,還要啟動第二個、第三個驗證,像是簡訊等方式,才能避免類似狀況發生。
※ 引述《kadasaki (K~)》之銘言:
: 昨日晚間密集發生
: 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡
: 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券
: 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google
: 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼
: 我的這幾個帳號是去年跟前年11月都有儲值過十幾二十萬儲值的帳號,目前是0
: 所以比較疑似是備份的資料庫被盜
: 平常有在參加一些P幣跟積點活動,如昨天玉山的活動先預儲準備後面要購買的人要注意: 儲值幾千上萬的都會被盯上,記得打開儲值使用驗證設定啟用
: PC這次疑似是整個資料庫外洩,連儲值金多寡都有,更不用說個資
: *第二可能性是拿MOMO的手機+密碼的資料庫來撞PC,這樣PC至少要被撞幾百萬筆
: *但驗證了五個受害者六個帳號,其中有兩個PC跟MOMO密碼不同,有兩個蝦皮跟PC不同: PC還沒把這些點數型商品禁止使用儲值,請注意自己的信箱有沒有被登入紀錄或是
: 收到驗證碼紀錄
: PCHOME在昨天就改版新增信箱跟手機的二階段驗證機制,但仍無法有效阻擋被登入
: 似乎舊版的登入頁面有漏洞不用二次驗證,或是COOKIE已經紀錄登入資訊。
: 推測PCHOME流出的資料不是目前最新的資料,而是幾個月前的資料庫,也許是備份的
: 資料庫,因為被登入的帳號都是幾個月前半年前甚至一年多前曾經儲值過幾萬十幾萬的: 帳號,許多目前儲值是0仍被嘗試登入,就表示是看幾個月前的儲值量去排序儲值登入: ----
--
數發部用了一堆沒資訊背景的地政職系公
務員 都不知道在幹嘛 笑死
有當過國策顧問的董事長真好 政府
都幫忙講話
數發部只能呼籲嗎?
連數發部都出來幫忙洗地
不然數位部能幹嘛
簡訊作為2FA根本就不是一個安全的選項,
別再推行簡訊2FA了
所以為何只有PCHOME出事?結論是?
不用簡訊要用什麼
有政府好安心檢討受害者最會
党幫忙洗地
我可以接受是撞庫攻擊呀,但是誰的資料
庫,是PCHOME資料庫撞PCHOME資料庫?
是撞庫就不用調查嗎?
就算以email做2FA都比簡訊安全,不用簡訊
選項還有很多好嗎,透過Google Authentic
ator就是一般網站都能做到又安全又方便的
2FA,也有很多網站如Steam的2FA會做在自
己的APP上,google或facebook因為滲透率
高所以可以採用直接按個是就登入成功那也
是一種2FA,對於網家這種規模來說這只是
要不要做而已,根本就是圖方便不做
數發部是出國的
能這樣撞PCHOME的資料庫的資料規模有多
大,才是需要探討調查的
前面有說一些人是只在PChome弄那組帳
密,不知道哪的庫這麼厲害能撞到
下次我偷吃被老婆抓我也說是撞庫好了
所以人抓到沒?
在網站上蒐集已經被公開揭露的個人資訊
你們各位是不是都把帳密刊在網路上?
笑死,一樓專業喔,資訊處理職系去數發
部過完水就跑回原單位降調了啦。不過我
還是要說,民間說撞庫你就真的相信撞庫
,就是規避企業產生信任機制的一環,說
好履約保證履到哪去?你儲值開驗證也沒
辦法阻止P幣、Hami跟環保綠點直接被抵
用掉。Pchome如果覺得自己是無辜第三人
完全不需任何行政責任,那就最好跟中華
電信被盜用一樣有點屁股,把月結的點數
卡止付後,返還被害人。而不是在那邊什
麼等偵查隊來調卷,阿你一個平台責任就
是看著消費者透過介接你的平台,連中華
電信的點數都一起被吃掉喔!?
希望數位部在背書前能說明一下他們做了
什麼查證還有監督的工作、看到什麼,所
以才背書,不然這文看起來就像他們單純
對網家說法照單全收,那就幾乎是瀆職了
更正:數位部→數發部
鄉民出一張嘴都怪別人最棒了,哈佛學
生改Meta智慧眼鏡上路每個人的個資都
看的到,很多人都愛把個資在網路上炫
耀公布然後可能的帳號密碼就被程式抓
出來撞會很難嗎?
數發部畢竟就中央單位,處理過就當我已
經處理了,不然就是把這個當成一般消保
爭議案件往地方丟結束,沒有很期待他有
什麼厲害的作為。但是Pchome想定調成個
案這點我是很不認同的,你真的一點責任
都沒有?
你們被盜的全都報案去,再哪只會怪別
人有什麼用,像高鐵點數不就抓一個了
,資訊安全要靠自己,不然為甚啥是你
被盜不是別人?
可憐
怕被告賠錢
不是個案你們就跟直銷被倒會一樣組自
救會啊,每天都網路傳言,組自救會提
團體訴訟啊,看有多少人,是不是個案
啊
犯人保護網正常運作
撞庫?笑死
可以被撞到一堆災情 要馬沒在防要馬庫外洩
大家都知你pchome老大有方法可提前
打疫苗
餅叔不熟
只撞高儲值用戶,厲害
如果數發部沒有權限進到 pchome 稽查
現在業者也已有作為不會再發生 監管
只能要求業者交報告 未來頂多制定資安
規範罰錢吧 所以受害者還是要報案 透
過司法途徑解決才能求償
這個好笑 明明就是超針對的盜帳
啟用passKey不就好,露天都可以
笑死 怪顧客就好
超厲害 只撞高儲值金的
如果駭客真的拿到高儲值名單 那受害
者應該集中在 "全體使用者" 依儲值金
額高低排序的前幾名名單中 金額至少
應該都是數萬元起跳 因為金額大一定會
報警 所以報案人數應該有不少人
要修法把經濟部的監管權限轉移都被擋
是能期待數發部做什麼,沒有法律授權
他也只能打打嘴炮不能實質干涉
反正個資保護委員會也還在籌備,這種裁
罰權責不明的期間不用想誰會出來當主事
者,只會說權責並非本部。相關與我身邊
的人一同進行的行政程序,在還沒明確結
論前就不跟Ptt噓文檢討被害的傢伙贅述了
,我應該不需要噓文的指導,但我就看要
累積幾個案件處理編號,他們才會覺得不
是個案。反正已經有心理准備這些會是不
斷移文跟併案的過程了,準備點耐心就是
。
數發部幫業者洗地,那還需要主管機關幹嘛
多一批領薪不做事的主管機關,就跟資動
部一樣
開啟多重驗證是平台應該要做的事,P
CHOME任由盜用者介接平台、偷光會員
的儲值金,數發部裝瞎?
有關係就沒關係 蒸蚌
數發部知道自己在講什麼嗎…有夠雷
這樣的發言,我也會說
自己去跟老闆說翻版 自立自強壓
之前來稽核的官員根本什麼都不會,
條款不知哪裡抄的,還在那邊民眾要
開二階段,PC home 之前根本沒有
還以為今天網家會大跌
你們太不給力了,高鐵賺十萬就被抓了
推文說pchome撞庫pchome超好笑
別家就沒問題
Pchome禮拜五才開始有2FA登入喔
出事之前單一密碼就可以登入 民眾根本沒有選
擇
Pchome果然政商關係良好 都串好說辭了
我怎麼記得前幾天有文章說pchome 否認有
資安問題?
現在冷靜下來想一想,應該不至於資料庫
外洩造成的,因為一般帳密設計會使用
雜湊加密儲存(一般來說不可逆)
除非網家用明碼儲存,
我不知道是否有蠢成這樣
所以就算資料庫外流了,你拿到的是加密值
你如果沒辦法還原成原本的值
(雜湊一般來說只能單向)
那手中拿到加密的值
一定不會等於加密值的加密
所以帳號密碼就不會一致,
也就登錄不進去系統
我預設的前提是網家用雜湊儲存密碼
和雜湊沒被破解,以上是個人見解
專門撞高儲值帳號也太會撞了 有夠扯
這討論串太多人誤解這種攻擊的特徵了,
這種攻擊就是要先大量試登一次確認手上的
帳密清單有哪些是有價值的,先用消去法
把沒價值的排除,順便存好 cookies,
最後再一口氣針對高價值帳號下手。
然後對岸用撞庫這詞彙其實也容易招人誤解
成是拿 A 資料庫的內容碰撞 B 資料庫。
然後就會想 B 是 PChome,那 A 是誰?
A 其實是入侵者手上的社工庫,一份來自各
種管道收集而來的帳密及其它個資的清單。
來源很多樣化,盜版軟體註冊機植入木馬側
錄來的,類似伊莉那類論壇但使用古老版本
有漏洞的網站來的,一些店家自己架設網站
但有漏洞來的,非常多元。
這種攻擊要造成實際損失才比較容易引起
警覺,所以在未確認自己手上這份清單有
多少筆帳密是有效之前,不會貿然對平台
發動總攻,所以特徵一定是先掃,再集中
下手,兩波之間有時間差,就是典型特徵。
執行這攻擊的通常帳密清單也不是靠自己本
事收集來的,很多是買來的,所以要先掃。
如果 100% 知道哪筆帳密是有效且有價值
帳號,沒必要分兩波增加被防禦風險。
像有做股票的在證券商都有開戶,但也不一
定有開複委託,就是能交易海外股票的。
當時攻擊者也是先掃出有複委託的帳號再一
口氣下手,當時遭受攻擊的券商有很多在第
一波掃描的時候就發現,主動通報主管機關
而沒受害,所以通報的有很多家,實際受害
的券商卻不多,這就是分兩波攻擊的風險。
這種攻擊對一個平台一輩子只有一次機會,
所以一定要讓單次攻擊產生最大效益。
如果邊登邊確認價值邊交易,你可能 50 萬
筆資料跑下來只有 5 個帳號有價值,也都
交易下去了,造成損失就會有引起平台關注
,可能賺 5 筆這招就被平台封了。
實務上大多網站不像券商在第一波就能發現
,所以為了最大化效益,都是這樣拆兩波。
這種攻擊的收益形式在不同平台也有不同
形式,沒辦法無確認成交虛擬商品銷贓的,
可以改成收集個資來賣給詐騙集團、用盜來
的帳號開設詐欺賣場、仿冒品賣場,或者直
接拍賣帳號本身。
所以這種攻擊其實 15 年以前就很多了,
只是每次都以使用者指責平台資安問題收尾
,後續就不了了之,強化的只有已受害平台
的資安,使用者本身還是依然故我。
然後在未受害未加強防禦的平台再吃一次虧
如果不缺錢的可以去玩玩 telegram 上的
社工機器人之類的服務,把你朋友主管的
私人手機或信箱餵進去,會意外看到很多
他們用過的其它帳號、信箱和密碼。
樓上的說法讓我感到害怕 瑟瑟發抖~
搭配暗網在賣的戶政資料,交叉比對就可得
這些人的身分證字號和生日,一些用生日當
2FA 的金融機構、網站這機制就形同虛設。
喔有些網站信箱不給換的原因是,它們工程
師對密碼做 hash 時會拿它來當加鹽的素材
,如果可以更換的話做起來很麻煩。
但原原po那串有統計兩名受害者的帳密
在pc是唯一值,他們的資料是哪來的?
這種就有兩種可能性,一是木馬,現在很多
win7/xp 再戰十年、防毒軟體才是病毒的
言論,要看是不是這類型的人。
另一個可能性就比較不想在這講得太明,
比較含蓄的說法就是其實並非真的是唯一值
說真的前者可能性不低,短短這幾年就連
到處都在用的 OpenSSL 都淪陷數次,
敢在未更新的設備上執行金融交易也是很猛
系統更新時修補的漏洞有在看敘述的話,
有些會寫這次修補的漏洞是可以遠端讓本機
執行任意程式碼的。當然往年大多數這些漏
洞都有一些附加條件才能利用,不會廣範圍
無差別中獎,不過近五年的確是有那種不
需要條件就能隨便對你電腦上下其手的。
公用 WiFi 不要拿來登要帳號的網站這點
其實也是很多人做不到。
我上面的推文有強調 如果資料外洩 受
害者應該集中在 "全體使用者" 依儲值
金額排序前幾名 我推測 pchome 應該是
檢查出還有很多高儲值金額的人沒事
所以認為這只是駭客從手中有限名單過
濾出的高儲值帳號而已 至於為何只有 p
chome 出事? 那是因為這次駭客本來就
鎖定 pchome 儲值這個資安弱點攻擊而
已 並不代表其它網站沒出事 只是你不
知道沒注意或沒上新聞而已
是的,其實很多真的沒上新聞或沒人關注
只是我很意外 PTT 兩年前才被大殺一波
但是對這次事件感覺就像第一次遇到一樣
蝦皮、露天、Y 拍等等的站台早玩過一輪了
話說 momo 也很爛 我用手機 app 變更
密碼輸入16位 結果登入頁檢查長度上
限是15位 改了之後無法登入 還好我還
有綁google帳號才能登入再改一次密碼
然後有時是網站不更新系統造成的漏洞,
所以密碼是唯一值還不夠,沒開 2FA 就是
最好定期修改,10 年前那個 Heartbleed
漏洞連唯一值但不修改密碼的帳號都通殺
其實台灣軟體業人員流動很快,有些整個原
團隊人馬都跑光了,新來的根本不知道前人
做了什麼,整天在四處解謎,就很容易看到
你說的這種 15、16 位數的白癡問題。
日本的 IT 慘業也差不多就是,你隨便註冊
一個帳號,修改 POST 到 API 的資料欄位
,居然可以傳回其它帳號的資料。UID 從
1 掃到 999999 就大豐收。
這種都是當初作者想說先寫個能動的東西就
好,然後他就再也沒空回來補強了,也沒交
接給後面的人說這邊未來要補強。
我自己定的密碼規則是包含密碼變更時
間及網站簡稱 變更時間用來提醒過一陣
子需要改密碼了 網站簡稱讓每個網站
的密碼都不一樣 而且這個規則是我大
腦記得起來的 不必特別死背 不過現在
我已逐漸改用密碼管理器了
萬一被公佈密碼 我從網站簡稱就知道大
概何時是從那裡外洩出去的
老外更早被這招玩過,密碼管理軟體比較
流行,我大概是 2004 左右開始用 KeePass
,所以每半年到一年就會去查看看哪個網站
外流我密碼,因為都自動產生的必定唯一。
當時對岸很流行一個 Discuz! 論壇系統,
但是安全度爛得可以,以前還有個烏雲網
會不定期公開這系統漏洞,拿那些公開漏洞
就能拿 web shell,dump db 跟側錄登入框
這種事情整天都有人在玩。
樓上勾起了我的回憶
以前很常會看這些東西
不同意簡訊比EMAIL安全
整天有人幻想簡訊不安全
舉那些用email驗證的網站例子 一堆只
是平台單純不願意花簡訊費用罷了
數發部不就按Pchome給的稿發而已。
高儲值用戶都用身份證及生日當密碼嗎
數發部真的一點屁用都沒有
出國第一
紅明顯,真心想知道簡訊不安全在那? 也
有加密不加密或是被監聽的問題嗎
2FA 有就是比沒有好,去區分哪種比較安全
沒什麼實質意義,使用者基本資安觀念沒有
的話,一切都形同虛設。
防範這種攻擊法的基礎就是增加機器人自動
大量嘗試登入的困難度,只要無法簡單用程
式驗證上萬筆帳密是否在此網站有效,有效
的帳號是否有足夠的盜用價值,就能倖免。
2FA 各種機制的安全與否是另一個面向的
議題,如果信箱帳密一起被賣,用信箱就沒
意義,如果是被種木馬,簡訊就沒意義,
如果是被釣魚,初始 token 被複製走,
那 Google Authenticator 這類的也沒意義
與其教育廣大不具資安知識的使用者,平台
方更具專業知識背景,多做點登入防護就能
解決的事,其實不用想其它的事那麼遠。
請教T大,您覺的MOMO,PC,蝦皮,YA這四大
網購平台,PC的登入防護作的如何?
好像連基本的異地登入驗証跟通知都沒?
yahoo 很久沒用,剛看了一下可以開啟兩步
驟驗證,這個還行。蝦皮我每次從別台電腦
登都會發簡訊來,MOMO 我隔一小時從同一
台電腦重登都會發簡訊要驗證,都還行吧。
只要大量機器人登入會被這東西攔住,成為
這種攻擊目標的機率就會大大降低。
PC 現在我登出再登入也會要求信箱驗證碼
,不過登入失敗沒任何通知是不太好。
國中小電腦課應該要加入資安教育 另外
資安最大的敵人之一就是懶惰 如果網
購登入 結帳 都卡驗證 最後銀行端再
來個簡訊 OTP 又有人要抱怨買個東西這
麼麻煩 最後網站加了成本 轉化率卻降
低 如果營運本來就不好 誰要做? 除非
主管機關規範一定規模的網站 至少要
有那些資安措施 加個政府認證標章之
類的 不過這些都比不上便宜的價格 有
貪念 密碼個人資訊全都填 出現什麼都
按下一步
養成用密碼管理軟體自動產生獨立密碼的
習慣,然後定期改密碼 (避免站方系統有漏
洞造成帳號密碼被收集),其實就不太用怕
當然在這之外能盡量不要用來路不明軟體,
不在公用電腦、公用網路登帳號這些基本
觀念也要有。真能做到這些其實在這幾家購
物還不至於成為受害者。
有些加密貨幣交易所轉帳或出金超硬的,
強制要求 email、手機簡訊驗證碼,再外加
Google Authenticator,不是沒有原因。
當然購物網站不可能每次交易都這樣搞
,不過網站有提供這些機制讓你開,就是多
一層防護,不開白不開。
就像 csieflyman 講的,絕對不能懶。
轉化率問題,的確是只能靠主管機關要求,
這樣大家都一樣麻煩,就沒什麼好比較。
兩年前券商被盜帳號下港股事件就是金管會
跟證期局要求所有券商落實登入驗證機制。
原本券商很多只要有身分證字號、網路下單
密碼跟憑證就能下單,而憑證只要輸入出生
年月日就能自動申請下來,現在會有 OTP。
當時有人還質疑其它網站都沒地方輸入身分
證字號和生日,這樣是要怎麼撞。但當時在
暗網的長安不夜城就有賣戶政資料,拿來跟
既有社工庫做交叉比對就能整合出來。
現在還是有證券公司跟XX一樣
身分證一直被測試,輸入三次錯誤密碼
直接鎖起來,光是每週在那邊解鎖就煩
死了。證券公司不讓自訂帳號OOXX
有人要搞你的話,拿身分證字號每天試
這個問過了,錯三次鎖住是主管機關要求,
他們也沒辦法只能照做。
不能自訂帳號這點我也不懂就是了,很蠢
爆
首Po昨日晚間密集發生 已數位友人高額儲值超過幾萬至幾十萬的儲值被使用XBOX禮品卡 並有幾個小額儲值的帳號,被盜購買全家、家樂福、寶雅禮券 我自己的帳號於9/28 只有註冊過PCHOME的三個信箱嘗試被登入Google 家人的帳號10/2晚間也被登入PCHOME,就盡速修改密碼53
現況回報: PCHOME似乎目前關了所有商品的儲值金使用選項 接下來PCHOME會不會吃到使用者的各種法律訴訟或者申請退款... 6.「PChome儲值」所表彰之金額均已依規定經由金融機構提供足額履約保證。 我不想退刷儲值金,你要讓我用啊8
專門討論it的網站新聞出來了,可是還是沒有上大新聞XD 然後pchome說是撞庫攻擊,不是外洩啦 大家可以下課了,掰掰~ ※ 引述《kadasaki (K~)》之銘言:爆
更新 10/9 下午約14點左右, 受此事影響的消費者都陸續收到E-mail & 電話一一通知。 客服人員: PChome24H為維護支持愛戴的消費者,並維護權益,59
為何這次高儲值用戶被連續盜用,會希望板友甚至民眾及媒體重視 是因為儲值的人是PCHOME上極少數的族群,可能幾萬個PCHOME使用者才有一個會儲值 會有幾十萬高額儲值的人更少,幾十萬PCHOME使用者才會有一個 現在PCHOME儲值沒優惠,很多都是從一年半前沒用完的慢慢使用剩下,所以更為少數 這次PCHOME事件,明顯是預謀犯案,挑10/2颱風天的晚間至隔日凌晨登入蒐集儲值金額
83
Re: [討論] 疑似PCHOME 資料庫外洩 鎖定高儲值帳號被盜剛收到PChome簡訊,因未綁定儲值簡訊驗證,密碼失效需重新設定密碼。手機app簡訊驗証 設定處不是很明顯,簡訊驗證綁定一開始還找不到。 沒綁的人最好快去綁定,另外提醒現在正在風頭上,小心詐騙集團發送釣魚簡訊或是假裝客 服渾水摸魚。14
[情報] Ubiquiti雲端系統遭駭,籲用戶變更密碼Ubiquiti雲端系統遭駭,籲用戶變更密碼 提供UniFi系列網通產品業者Ubiquiti昨(11)日公告,其代管於一家雲端平臺上的系統 遭不明人士存取,因為不確定資料完全沒外洩,因而呼籲用戶儘速變更密碼。 Ubiquiti指出,由第三方雲端業者代管的數個IT系統遭未授權存取,目前沒有跡象顯示客13
[問題] 蝦皮帳號被盜用想請問板友有沒有類似經驗... 我本身是蝦皮重度使用者 幾乎什麼都蝦皮買 今早突然跳出三筆貨到付款訂單通知 看了傻眼 都是泡澡球 一度懷疑我家小孩6
[問題] Apple ID 雙重驗證被盜?機型名稱:iPhone XS 系統版本:14.4.2 問題描述: 今天女友無緣無故收到APPLE 退款單 居然被刷了8000多元,又退款成功4
[請益] 帳號疑似被盜各位版友安 用了Netflix兩年多 這中間都沒事 前陣子想說給家人用 今天家人因為想看金馬得獎作品使用NetflixX
[討論] 請益這則pchome盜用帳號(請版主幫刪)不知道上哪問 請益這則pchome盜用帳號的消息是真的嗎 剛剛看到群組再傳 因為我pchome還有一些儲值金- 作者: KotoriCute (Lovelive!) 看板: PC_Shopping 標題: [情報] Ubiquiti雲端系統遭駭,籲用戶變更密碼 時間: Tue Jan 12 23:45:27 2021 Ubiquiti雲端系統遭駭,籲用戶變更密碼
57
[情報] IPass一卡通 優惠券XX
[情報] 7-11 賀!奪冠軍! 多樣商品優惠34
[情報] 全家多品項優惠30
[情報] 11.25限定 貳樓買一送一36
[情報] Ubereats 訂生鮮的慘痛經驗28
[情報] 全家丹麥菠蘿可頌買1送116
[情報] 台灣虎航 澳門 韓國 買一送一7
[情報] 丸龜製套 年終慶活動6
Re: [情報] 美亞 WD SSD 2T 8T 32% off1X
[情報] 星巴克11/25-11/26 買一送一10
[情報] 蝦皮11/25 20%蝦幣回饋券2
[情報] 金色三麥11/25-11/27內用 每人送一杯~4
Re: [情報] Ubereats 訂生鮮的慘痛經驗4
[情報] 鮮茶道 11/25 特等茶系列 買一送一X
[情報] 美亞 黑5 智慧家庭 Eve 特價