財政部發票平台爆資安漏洞 逾七成企業沿用預設密碼
公部門再爆重大資安漏洞!近日一位民眾發現財政部「電子發票整合服務平台」爆發資安缺失,只要輸入企業統編、政府提供之預設密碼,就可以瀏覽器超過130家上市櫃公司資料,甚至包含國營事業及國安單位的採購資訊。對此,財政部財政資訊中心表示,整合服務平台營利事業密碼弱點已改善完成,有關報導中所述國家單位開立之電子發票資料主要為行政支出及紀念品項目,無涉國防採購。
《民報》及《readr》今(16)日報導, 一名不願具名的資安人士爆料,台灣1789間上市櫃公司,有超過7成的企業沿用政府提供的預設密碼,包含78間上市、56間上櫃公司,其中以光電業者最多,其次為半導體、電子零組件業;此外,連中華郵政、台鐵等國營事業或行政法人等組織,也有相同問題。
立委邱顯智表示,這是非常嚴重的資安問題,並再次顯現公部門對資安的不在乎,除了發給相同的預設密碼外,竟然在第一次登入後沒有要求強制更改預設密碼,造成許多廠商的電子發票資料隨手可得。
財政資訊中心說明,目前營利事業多採工商憑證註冊後自行設定密碼登入整合服務平台,僅部分營利事業使用整合服務平台核發之預設密碼登入。為強化系統使用安全性,以舊預設密碼登入後即強制變更密碼,並應輸入第二因子,始得使用整合服務平台服務。整合服務平台新核發之營利事業預設密碼已採12位英數字隨機亂碼,首次登入後亦須輸入第二因子強制變更密碼。另營利事業登入整合服務平台後,即顯示前次登入紀錄,並得選擇以電子郵件通知該次登入紀錄,方便營利事業確認整合服務平台使用情形。
財政資訊中心強調,整合服務平台已完成改善密碼弱點,請營利事業儘快登入修改預設密碼,並應符合強度密碼規範及妥善保管密碼。另整合服務平台皆有保存帳號登入紀錄,請勿任意測試登入其他公司行號帳號導致該帳號停權,而有觸犯「無故入侵他人電腦」罪之風險。
