▲有駭客發現「電子發票整合服務平台」資安漏洞。(示意圖,圖非當事人/資料照)
記者閔文昱/綜合報導
財政部「電子發票整合服務平台」近日爆出資安危機,有民眾發現,在該平台輸入企業統編、政府提供之預設密碼,就可瀏覽企業會員資料,估計至少130家上市櫃公司受到影響。對此,財政部回應,目前已完成改善密碼弱點,呼籲營利事業儘快登入修改預設密碼。
根據《民報》、《READr》報導,一名白帽駭客日前收到財政部電子發票平台發給公司的帳戶及密碼,發現該組密碼可登入到許多公司帳號中,其中甚至包含國防採購主力單位「國家中山科學研究院」(中科院),可清楚檢視電子發票內容。經調查,1789間上市櫃公司中,就有超過 7%企業沿用該組政府提供的預設密碼,至少78 間上市公司、52 間上櫃公司受影響。
財政部16日回應,針對有媒體報導白帽駭客反映使用營利事業預設密碼即可登入財政部電子發票整合服務平台,導致使用電子發票之營利事業或國家單位採購資訊外洩之資安疑慮,財政部財政資訊中心表示整合服務平台營利事業密碼弱點已改善完成。
▲財政部。(圖/資料照)
另外,財政部強調,有關報導中所述國家單位開立的電子發票資料,內容主要為行政支出及紀念品項目,無涉國防採購。
財政部財政資訊中心說明,目前營利事業多採工商憑證註冊後自行設定密碼登入整合服務平台,僅部分營利事業使用整合服務平台核發之預設密碼登入,「為強化系統使用安全性,以舊預設密碼登入後即強制變更密碼,並應輸入第二因子,始得使用整合服務平台服務。」
財政部指出,整合服務平台新核發的營利事業預設密碼已採12位英數字隨機亂碼,首次登入後也必須輸入第二因子強制變更密碼,另外營利事業登入整合服務平台後,即顯示前次登入紀錄,並得選擇以電子郵件通知該次登入紀錄,方便營利事業確認整合服務平台使用情形。
財政部表示,目前整合服務平台已完成改善密碼弱點,呼籲營利事業儘快登入修改預設密碼,並應符合強度密碼規範及妥善保管密碼,「另整合服務平台皆有保存帳號登入紀錄,請勿任意測試登入其他公司行號帳號導致該帳號停權,而有觸犯『無故入侵他人電腦』罪之風險。」
讀者迴響