作者shinewonder (格罗索 灵魂附体 )
看板Stock
标题[新闻] 130公司资安外泄!电子发票平台爆「有漏
时间Wed May 17 08:43:33 2023
原文标题:130公司资安外泄!电子发票平台爆「有漏洞」 财政部回应了
※请勿删减原文标题
原文连结:
https://reurl.cc/V8yp6A
※网址超过一行过长请用缩网址工具
发布时间:2023/05/17 05:03
※请以原文网页/报纸之发布时间为准
记者署名:林昀萱报导
※原文无记载者得留空
原文内容:
使用电子发票整合服务平台的人注意!有民众发现,只要在
平台输入企业统编及
政府预设密码,就可以浏览企业会员的资料,包括发票明细、营收等资料都被看光光
。对此,财政部也做出回应。
根据《READr》报导,有民众指出财政部「电子发票整合服务平台」有资安漏洞,只要在
平台输入企业统编加上预设密码,就可以浏览企业会员、营收等重大商业资料,调查指出
,1789间上市上柜的公司中有
超过7%企业继续沿用政府提供预设密码,
至少有78
家上市公司、52间上柜公司受到影响,其中以光电业最多,依序是半导体产业
、电子零组件业,甚至国营事业也在列。
对此,财政部表示已经改善平台密码弱点,并通知各公司更改密码。由於目前是报税季,
因此先提醒更改,申报期结束後将会推动新版「双认证模式」。新进公司除了密码采12位
数字随机乱码外,首次登入後将必须输入第二因子强制变更密码,并在营利事业登入平台
後显示前次登入的纪录并寄发电子邮件通知,以便确认使用情况。
心得/评论:资安即国安,这漏洞是用旧密码就可以查到上市柜公司的会员资料、发票明
细、营收等资料。资安防护也是企业经营中很重要的一环。
※必需填写满30字,无意义者板规处分
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.136.73.55 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Stock/M.1684284215.A.318.html
※ 编辑: shinewonder (223.136.73.55 台湾), 05/17/2023 08:44:16
※ 编辑: shinewonder (223.136.73.55 台湾), 05/17/2023 08:45:08
1F:推 shyshyan : 我们有天才IT大臣 怕什麽 05/17 08:44
2F:推 HenryLin123 : 预设密码,是有没有这麽懒惰? 05/17 08:45
3F:推 peacesignv : 猜猜看有多少人手机开机密码是0000 XD 05/17 08:47
4F:推 icexfox : 下个推出资安部 05/17 08:47
5F:推 Superxixai : 再成立一个办公室来成立国家队 05/17 08:47
6F:推 ab4daa : 垃圾平台 不像ptt还会自动码掉密码 05/17 08:48
7F:嘘 a069275235 : 回八卦版啦 05/17 08:49
8F:推 bcmaple : 发票国家队、发票办公室已经准备好了,有政府好安心 05/17 08:50
9F:→ z7956234 : 一样重点就那样,看懂就有钱赚 05/17 08:50
10F:嘘 flyingdeeck : 还蛮简单就解决的事情== 05/17 08:51
11F:→ Ceferino : 大概又要巧立名目增加资安预算了,还不快上车 05/17 08:51
12F:推 lazycat5 : 预设密码,资安白痴吗 05/17 08:52
13F:→ piece1 : 所以要炒哪一家? 05/17 08:52
14F:→ aloness : 这问题看起来是各公司使用者没有改"预设密码" 05/17 08:52
15F:推 mytropicfish: 八卦仔 可能也是用预设密码 再来怪别人 05/17 08:53
16F:推 asshead : 预设密码设时效性就好了 05/17 08:55
17F:→ mecca : 没改密码的MIS全部革职 05/17 08:56
18F:推 kinve1014 : 不是有个部门组团去查诚品 这次怎不组团去查? 05/17 08:56
19F:推 ImCPM : 哪个没漏洞 05/17 08:56
20F:推 grtfor : 预设密码呀..... 05/17 08:57
21F:嘘 zombiepigman: 好惨.. 05/17 08:57
22F:推 HenryLin123 : 八卦仔什麽都怪政府,连预设密码不改都要怪。 05/17 08:58
23F:推 abs60516 : 光预设密码统一是政府提供的就有问题吧 05/17 09:01
24F:→ abs60516 : 类似登记人身份证之类的就算了 如果固定是0000 这种 05/17 09:02
25F:→ abs60516 : 当然是你平台设计的问题 05/17 09:02
26F:推 ipath19 : 大家的jptt会一直断线吗 05/17 09:04
27F:推 freekadze : 现在通常都强迫第一次登入後要改 05/17 09:07
28F:→ kevinmeng2 : 政府带头…笑死 05/17 09:12
29F:推 imhan705 : 我自己先把我个资卖了 就不怕被卖了 05/17 09:12
30F:→ lyhorcish : 改好才发新闻稿罗 05/17 09:15
31F:推 vancepeng : 贩卖个资国家队 05/17 09:17
32F:推 lnicole2224 : 没改密码...这怪政府? 05/17 09:18
33F:推 neoa01 : 这种政府态度,如资安即国安,台湾岌岌可危啊 05/17 09:24
34F:推 MKIU : 资安国家队 要出动了 05/17 09:24
35F:推 smfy : 系统可以第一次登入强迫改密码 or 密码是用登记人个 05/17 09:25
36F:→ smfy : 人资料的内容组成,明明很多系统可以做的事情 05/17 09:26
37F:嘘 centaurjr : 能用预设密码就是平台没写好,不然怪谁 笑死 05/17 09:33
38F:嘘 cityhunter04: 自己不改密码,怪平台? 05/17 09:33
39F:推 ChampionYe : 身为工程师不觉得这是系统问题...只是不够人性化没 05/17 09:34
40F:→ ChampionYe : 考虑到一群笨user不去改预设密码而已 05/17 09:34
41F:→ centaurjr : 最好不用怪平台,不然为什麽一堆平台都不用预设密码 05/17 09:35
42F:推 john0628 : ...预设密码不更改...笑 05/17 09:35
43F:→ yukari8 : 看推文真的觉得很神奇 虽然没碰政府案子 一堆网站加 05/17 09:35
44F:→ centaurjr : 设计过UI就知道不能假设使用者会用好吗 05/17 09:35
45F:→ yukari8 : 那些密码规则都会被靠杯麻烦 一堆人不想加 05/17 09:36
46F:→ a79111010 : 保皇的在那边哭 结论还是要改善 你们在保什麽东西 05/17 09:37
47F:嘘 cityhunter04: 生小孩生不出来怪邻居,便秘拉不出来怪马桶! 05/17 09:38
48F:推 ChampionYe : 使用者不会用的东西可多了,所以UX本来就要一直去 05/17 09:39
49F:→ ChampionYe : 精进,这比较算归类到精进而不是bug 05/17 09:39
50F:推 centaurjr : 精进和BUG有差吗 都要改 05/17 09:39
51F:→ a79111010 : 某人的确像个马桶 满嘴都 05/17 09:40
52F:推 huabandd : 这几间公司资安可以开除了吧 05/17 09:40
53F:→ ChampionYe : 对工程师来说有差。 05/17 09:40
54F:→ huabandd : 预设密码也在用,真的笑死 05/17 09:40
55F:→ centaurjr : 客户觉得要改就是要改 05/17 09:40
56F:推 jimmy12332 : 就算有改密码 只要输正确 在网际网路上就能看到所 05/17 09:40
57F:→ jimmy12332 : 有会员资料也是不可思议 05/17 09:40
58F:→ centaurjr : 工程师哪有差...mantis都是写bug...会写精进吗 笑死 05/17 09:40
59F:推 lasma : 预设密码就是个不动脑的做法! 05/17 09:41
60F:推 ChampionYe : 精进跟bug开的单不同吧,工作管理上也不太一样 05/17 09:41
61F:嘘 ciza : 漏就漏啊,民间漏才罚,政府漏没关系啦 05/17 09:42
62F:→ yukari8 : 这种除非一开始就有开这规格但是你没做才会写BUG 不 05/17 09:42
63F:→ yukari8 : 然就是另外开规格单 05/17 09:43
64F:→ centaurjr : 做了有错也是BUG阿...现在就是有错不然财政部干嘛改 05/17 09:44
65F:→ centaurjr : 嘻嘻笑笑说那些企业白痴烂就没事了不是吗 05/17 09:45
66F:→ centaurjr : 这种客制化的东西,甲方说你这样不对就是bug... 05/17 09:46
67F:→ opmikoto : 这...公司资安.. 这种公司的AP密码大概也是预设吧 05/17 09:47
68F:→ yukari8 : 觉得有问题就要改没错 但是功能没写的东西就不会写 05/17 09:48
69F:推 godchildtw : 你的系统没有强制必需要改密码而且所有人都一样,这 05/17 09:48
70F:→ godchildtw : 就是你出的包啊。 05/17 09:48
71F:→ godchildtw : 必须 05/17 09:48
72F:→ yukari8 : BUG阿 这叫追加功能或修改规格好吗 05/17 09:48
73F:推 ChampionYe : 这要怪也是怪甲方的资安spec没有写到,怪系统有点奇 05/17 09:48
74F:→ ChampionYe : 怪,资安这东西本来就不是0跟1,而是你想做到什麽程 05/17 09:48
75F:→ ChampionYe : 度,你规格没写,那没特别去做也很正常 05/17 09:48
76F:→ luche : 建议设立发票资安办公室并且升格成财政院 05/17 09:51
77F:→ jacvky : 公司自己没改算漏洞吗 05/17 09:53
78F:推 Phineas2635 : 个资不值钱啦 在那叫什麽 05/17 09:54
79F:→ pigofwind : 这不是bug,这是精进,跟超买一样,懂? 05/17 09:55
80F:→ yehwang : 有政府 请安心,请外包大臣发包即可解决 05/17 09:57
81F:推 qk31330 : 这次要成立什麽办公室呢? 05/17 09:59
82F:推 jin956 : 有症腐 真庵腥 又可以成立掴痂队了 预算真好花 05/17 10:08
83F:嘘 ycjcsie : 这算漏洞吗 05/17 10:12
84F:推 mdkn35 : 卦仔:不管 政府没强制没一直提醒要改 就是政府的错 05/17 10:16
85F:→ mdkn35 : …我还以为我反串 没想到推文真有人这样想… 05/17 10:17
86F:→ mdkn35 : 不改预设密码 这跟钥匙丢在马路上等人捡有何不同? 05/17 10:18
87F:推 BruceChen227: 我们有IT大臣 怕什麽? 05/17 10:20
88F:推 h07880201 : 就平台烂 你自己去银行开户 看看哪家有预设密码? 05/17 10:21
89F:→ h07880201 : 现在一堆申办都要求马上改密码 而且给的确认码预设 05/17 10:21
90F:→ h07880201 : 码也都是乱码 就算当下没改也不会大家都一样 05/17 10:21
91F:→ ryusian : 数位部这次怎麽不请财政部来喝咖啡了?要比照诚品呀 05/17 10:22
92F:→ ryusian : 。 05/17 10:22
93F:嘘 ruoming9900 : 使用者自己没有资安观念想推给谁? 05/17 10:29
94F:嘘 kitkat1051 : 使用者自己问题 怪政府干嘛… 05/17 10:34
95F:→ pigofwind : 都是使用者不改预设密码的错,怎麽能指责政府呢,我 05/17 10:37
96F:→ pigofwind : 把你家钥匙丢在地上你要捡起来啊XD 05/17 10:37
97F:→ kind5412de : 楼上类比错误,这比较像是把钥匙放门口交给你西欧你 05/17 10:40
98F:→ kind5412de : 不收好,每次用完继续丢门口,然後怪锁匠 05/17 10:40
99F:嘘 videoproblem: 应该要公布一下那些不改密码的公司 05/17 10:41
100F:推 a19851106 : 预设密码至少要是乱码吧,难道你的网银预设密码是身 05/17 10:41
101F:→ a19851106 : 分证字号? 05/17 10:41
102F:→ tigertiger : 该成立防电子发票外泄办公室了 05/17 10:49
103F:推 smfy : 感觉很多人都没写过系统..写系统本来就要预设使用者 05/17 10:54
104F:→ smfy : 什麽都不懂,所以要用预设乱码,定期询问是否要更改 05/17 10:54
105F:→ smfy : 密码等机制要求使用者.. 05/17 10:55
106F:→ neoa01 : 这样的处事还想强调资安即国安xDD 05/17 10:55
107F:→ neilisme : 预设密码通常会设生分证字号+生日之类的吧 05/17 11:11
108F:→ smfy : 如果有问题都可以推给使用者,工程师就轻松多了 XD 05/17 11:11
109F:推 noar : 是该怪政府没错,一般银行都会用随机密码跟第一次 05/17 11:12
110F:→ noar : 登入变更了,政府没想到吗 05/17 11:12
111F:→ neilisme : 所有人都预设0000 这被盗还有脸怪使用者喔 05/17 11:12
112F:推 leon1757tw : 要成立资安办公室了吗? 05/17 11:18
113F:→ yukari8 : 我觉得怪规格乱开很OK阿 说这是BUG就很奇怪 05/17 11:21
114F:→ yukari8 : 规格没开的功能弄上去 业主不喜欢反而才会被当BUG 05/17 11:22
115F:→ yukari8 : 当然他开什麽用什麽 顶多问一下 反正不要就算了 05/17 11:23
116F:嘘 AlarmAlarm : 这怎麽不算漏洞 很难预防吗? 预算拿那麽多什麽都没 05/17 11:30
117F:→ AlarmAlarm : 做 05/17 11:30
118F:→ pigofwind : 要指责钥匙丢在地上类比错误,先去跟84楼打一架再说 05/17 11:35
119F:→ pigofwind : ,这例子又不是我先提的XD 05/17 11:35
120F:→ nikidd : 笑死 自己蠢 先怪别人为什麽让你耍蠢 05/17 11:37
121F:推 Oisiossos : 难怪没中奖 05/17 11:40
122F:嘘 suchidiot : 什麽都能怪,真是废物大集合 05/17 11:45
123F:推 kinki999 : 预设?? 你去银行开户都会盖随机密码纸本 05/17 11:46
124F:推 Ariettina : 我们伟大的党和政府怎麽可能有错? 嘻嘻 05/17 11:53
125F:→ Ariettina : 错的肯定都是提出问题的人 05/17 11:53
126F:推 s900527 : 治安漏洞变成使用者自己问题XD 05/17 12:02
127F:推 uei1201 : 已经有国家反诈骗办公室了,就算泄漏了我也好安心 05/17 12:04
128F:推 Xpwa563704ju: 白痴是不是,居然不改密码 05/17 12:08
129F:推 volcom726 : 推文一堆巨婴XD 05/17 12:09
130F:推 doranako : 第一次登入不是应该强迫改密码吗 05/17 12:11
131F:推 Kydland : 从这件事就可以看出左派和右派的差别 也可以看出哪 05/17 12:15
132F:→ Kydland : 些人是假右派 05/17 12:15
133F:嘘 kairi : 有人妖大臣 不怕啦 05/17 12:16
134F:推 s900527 : 一堆傻子以为都使用者问题~资安部门都可以解散了 05/17 12:19
135F:→ s900527 : 政府还花一堆钱在资安上面是在贪污吗 05/17 12:19
136F:推 worshipyou : 天才外包部门还在做外送app啦,没空 05/17 12:21
137F:→ worshipyou : 治安漏洞变使用者问题?如果国民党这样讲还不被干 05/17 12:22
138F:→ worshipyou : 死,双标无能政府 05/17 12:22
139F:推 littlehost : 预设密码首次登入後系统要强迫使用者修改密码,这 05/17 12:23
140F:→ littlehost : 不是基本要求吗?资安法的资通系统防护基准就有要 05/17 12:23
141F:→ littlehost : 求了,还没做到 05/17 12:23
142F:→ littlehost : 然後快使用者?呵呵 05/17 12:24
143F:→ littlehost : 怪 05/17 12:24
144F:推 lawenwen : 都是they的错 05/17 12:32
145F:嘘 sundaystory : 八卦栅栏也是资安漏洞 05/17 12:42
146F:→ FiveSix911 : 不必去查 05/17 12:54
147F:推 sassuck : 八卦栅栏到底什麽时候要修好 05/17 13:36
148F:嘘 MercuryET : 预设密码 05/17 13:48
149F:推 s900527 : 那些整天只想栅栏的中共同路人真的好笑 05/17 13:52
150F:推 clusis : 预设密码要设使用期限,例如申请後24小时内,政府 05/17 14:35
151F:→ clusis : 单位也太懒了 05/17 14:35
152F:嘘 rogerok : 这不算资安问题,算个别人士智障问题 05/17 14:50
153F:嘘 rogerok : @版主快来 05/17 14:54
154F:→ pigofwind : 换成证券业这样搞早就被骂翻了,幸好是政府网站,那 05/17 15:06
155F:→ pigofwind : 就是使用者太蠢跟栅栏的错了 05/17 15:06
156F:推 kukki : 不是资安工程师的少在那边耍笨好吗? OWASP里就跟你 05/17 15:07
157F:→ kukki : 说系统设计允许使用预设密码是资安弱点了, 设计系统 05/17 15:07
158F:→ kukki : 不用脑, 难怪资安问题一大堆 05/17 15:08
159F:推 chaoliu : ISO 27001 == 05/17 16:03
160F:推 kingof303 : 自己白痴又怪唐凤 八卦门又没关放出八卦仔了? 05/17 20:59
161F:→ olaerc23564 : 为啥会有预设密码这种东西 05/18 06:34
162F:推 Petrovsky : 呆湾日常 05/20 15:16