作者medama ( )
看板einvoice
标题[新闻] 财政部「电子发票平台」爆资安漏洞 超
时间Tue May 16 11:39:29 2023
https://www.storm.mg/lifestyle/4791525
财政部「电子发票平台」爆资安漏洞 超过130家上市柜公司「会员资料恐被看光」
吴哲宜 + 追踪
2023-05-16 09:22
台湾公部门又传资安疑虑!近日一位民众发现财政部「电子发票整合服务平台」爆发资安缺
失,只要输入企业统编、政府提供之预设密码,就可以浏览器企业会员资料;根据爆料,受
影响的企业共有超过130家上市柜公司。
跟据「READr」报导, 一名不愿具名的资安人士爆料,台湾1789间上市柜公司,有超过7的
企业沿用政府提供的预设密码,其中78间上市、56间上柜公司,其中以光电业者最多,其次
为半导体、电子零组件业;此外,连中华邮政、台铁等国营事业或行政法人等组织,也有相
同问题。
对此财政部回应指出,大部分企业在申请电子发票时,是用工商凭证,一开始就可以设定平
台密码,可能有少部分公司因为方便没有改,使用国税局预设密码,已经发通知给各公司强
制更改电子发票平台密码,但是为了不影响现在的营业税收申报作业,先通知企业更换密码
,待申报期结束後会推动新版认证作业,再既有的登入流程之外,再加一个认证机制
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.217.40.109 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/einvoice/M.1684208371.A.32B.html
1F:→ katy50306: 这漏洞?不改预设密码干平台啥事 05/16 12:50
2F:→ katy50306: 看其他报导 问题在名单怎麽出来的吧 05/16 12:58
3F:→ kkkk1234: 我记得我看到某篇新闻有人说改了密码以後旧密码照样能 05/16 13:19
4F:→ kkkk1234: 登入 05/16 13:19
5F:→ kkkk1234: 不过我觉得最大的漏洞是用验证码当密码 然後使用第三方 05/16 13:21
6F:→ kkkk1234: 服务时不是用token或OAuth授权 而是把帐密都交出去 05/16 13:21
7F:推 now99: 唐凤看过後不觉的授权机制有问题吗 05/16 19:28
8F:推 paisen: 现在不管发票或整合各家金融资料的app都用帐密去同步,之 05/17 13:05
9F:→ paisen: 前忘了哪个金融app说将会有银行授权同步但都没消息 05/17 13:05
10F:推 Kazamatsuri: 最早麻布用网银帐密同步就被嫌资安问题了 科科 05/17 13:14
11F:→ hit1205: 照其他家的报导,预设密码是所有人都同一组 05/18 15:36
12F:→ hit1205: 不过5/11已经把预设密码改成随机了,5/13起用预设密码 05/18 15:36
13F:→ hit1205: 登入则会强制要求改密码(使用双因素验证) 05/18 15:37
14F:→ hit1205: 不过第二个因子不确定是什麽,部分报导写 "税籍代号"(?) 05/18 15:40
15F:推 chenbbs: 登入後会有一个栏位要求输入税籍号码,接着才输入新密码 05/19 22:31