作者medama ( )
看板einvoice
標題[新聞] 財政部「電子發票平台」爆資安漏洞 超
時間Tue May 16 11:39:29 2023
https://www.storm.mg/lifestyle/4791525
財政部「電子發票平台」爆資安漏洞 超過130家上市櫃公司「會員資料恐被看光」
吳哲宜 + 追蹤
2023-05-16 09:22
台灣公部門又傳資安疑慮!近日一位民眾發現財政部「電子發票整合服務平台」爆發資安缺
失,只要輸入企業統編、政府提供之預設密碼,就可以瀏覽器企業會員資料;根據爆料,受
影響的企業共有超過130家上市櫃公司。
跟據「READr」報導, 一名不願具名的資安人士爆料,台灣1789間上市櫃公司,有超過7的
企業沿用政府提供的預設密碼,其中78間上市、56間上櫃公司,其中以光電業者最多,其次
為半導體、電子零組件業;此外,連中華郵政、台鐵等國營事業或行政法人等組織,也有相
同問題。
對此財政部回應指出,大部分企業在申請電子發票時,是用工商憑證,一開始就可以設定平
台密碼,可能有少部分公司因為方便沒有改,使用國稅局預設密碼,已經發通知給各公司強
制更改電子發票平台密碼,但是為了不影響現在的營業稅收申報作業,先通知企業更換密碼
,待申報期結束後會推動新版認證作業,再既有的登入流程之外,再加一個認證機制
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.40.109 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/einvoice/M.1684208371.A.32B.html
1F:→ katy50306: 這漏洞?不改預設密碼干平台啥事 05/16 12:50
2F:→ katy50306: 看其他報導 問題在名單怎麼出來的吧 05/16 12:58
3F:→ kkkk1234: 我記得我看到某篇新聞有人說改了密碼以後舊密碼照樣能 05/16 13:19
4F:→ kkkk1234: 登入 05/16 13:19
5F:→ kkkk1234: 不過我覺得最大的漏洞是用驗證碼當密碼 然後使用第三方 05/16 13:21
6F:→ kkkk1234: 服務時不是用token或OAuth授權 而是把帳密都交出去 05/16 13:21
7F:推 now99: 唐鳳看過後不覺的授權機制有問題嗎 05/16 19:28
8F:推 paisen: 現在不管發票或整合各家金融資料的app都用帳密去同步,之 05/17 13:05
9F:→ paisen: 前忘了哪個金融app說將會有銀行授權同步但都沒消息 05/17 13:05
10F:推 Kazamatsuri: 最早麻布用網銀帳密同步就被嫌資安問題了 科科 05/17 13:14
11F:→ hit1205: 照其他家的報導,預設密碼是所有人都同一組 05/18 15:36
12F:→ hit1205: 不過5/11已經把預設密碼改成隨機了,5/13起用預設密碼 05/18 15:36
13F:→ hit1205: 登入則會強制要求改密碼(使用雙因素驗證) 05/18 15:37
14F:→ hit1205: 不過第二個因子不確定是什麼,部分報導寫 "稅籍代號"(?) 05/18 15:40
15F:推 chenbbs: 登入後會有一個欄位要求輸入稅籍號碼,接著才輸入新密碼 05/19 22:31