[新聞] 130公司資安外洩！電子發票平台爆「有漏

作者shinewonder (格羅索靈魂附體 )

看板Stock

標題[新聞] 130公司資安外洩！電子發票平台爆「有漏

時間Wed May 17 08:43:33 2023

原文標題：130公司資安外洩！電子發票平台爆「有漏洞」　財政部回應了 ※請勿刪減原文標題原文連結：https://reurl.cc/V8yp6A ※網址超過一行過長請用縮網址工具發布時間：2023/05/17 05:03 ※請以原文網頁/報紙之發布時間為準記者署名：林昀萱報導 ※原文無記載者得留空原文內容：使用電子發票整合服務平台的人注意！有民眾發現，只要在平台輸入企業統編及政府預設密碼，就可以瀏覽企業會員的資料，包括發票明細、營收等資料都被看光光。對此，財政部也做出回應。根據《READr》報導，有民眾指出財政部「電子發票整合服務平台」有資安漏洞，只要在平台輸入企業統編加上預設密碼，就可以瀏覽企業會員、營收等重大商業資料，調查指出，1789間上市上櫃的公司中有超過7％企業繼續沿用政府提供預設密碼，至少有78 家上市公司、52間上櫃公司受到影響，其中以光電業最多，依序是半導體產業、電子零組件業，甚至國營事業也在列。對此，財政部表示已經改善平台密碼弱點，並通知各公司更改密碼。由於目前是報稅季，因此先提醒更改，申報期結束後將會推動新版「雙認證模式」。新進公司除了密碼採12位數字隨機亂碼外，首次登入後將必須輸入第二因子強制變更密碼，並在營利事業登入平台後顯示前次登入的紀錄並寄發電子郵件通知，以便確認使用情況。心得/評論：資安即國安，這漏洞是用舊密碼就可以查到上市櫃公司的會員資料、發票明細、營收等資料。資安防護也是企業經營中很重要的一環。 ※必需填寫滿30字，無意義者板規處分 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.73.55 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1684284215.A.318.html ※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:44:16 ※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:45:08

推 shyshyan : 我們有天才IT大臣怕什麼 05/17 08:44

推 HenryLin123 : 預設密碼，是有沒有這麼懶惰？ 05/17 08:45

推 peacesignv : 猜猜看有多少人手機開機密碼是0000 XD 05/17 08:47

推 icexfox : 下個推出資安部 05/17 08:47

推 Superxixai : 再成立一個辦公室來成立國家隊 05/17 08:47

推 ab4daa : 垃圾平台不像ptt還會自動碼掉密碼 05/17 08:48

噓 a069275235 : 回八卦版啦 05/17 08:49

推 bcmaple : 發票國家隊、發票辦公室已經準備好了，有政府好安心 05/17 08:50

→ z7956234 : 一樣重點就那樣，看懂就有錢賺 05/17 08:50

噓 flyingdeeck : 還蠻簡單就解決的事情== 05/17 08:51

→ Ceferino : 大概又要巧立名目增加資安預算了，還不快上車 05/17 08:51

推 lazycat5 : 預設密碼，資安白癡嗎 05/17 08:52

→ piece1 : 所以要炒哪一家? 05/17 08:52

→ aloness : 這問題看起來是各公司使用者沒有改"預設密碼" 05/17 08:52

推 mytropicfish: 八卦仔可能也是用預設密碼再來怪別人 05/17 08:53

推 asshead : 預設密碼設時效性就好了 05/17 08:55

→ mecca : 沒改密碼的MIS全部革職 05/17 08:56

推 kinve1014 : 不是有個部門組團去查誠品這次怎不組團去查？ 05/17 08:56

推 ImCPM : 哪個沒漏洞 05/17 08:56

推 grtfor : 預設密碼呀..... 05/17 08:57

噓 zombiepigman: 好慘.. 05/17 08:57

推 HenryLin123 : 八卦仔什麼都怪政府，連預設密碼不改都要怪。 05/17 08:58

推 abs60516 : 光預設密碼統一是政府提供的就有問題吧 05/17 09:01

→ abs60516 : 類似登記人身份證之類的就算了如果固定是0000 這種 05/17 09:02

→ abs60516 : 當然是你平台設計的問題 05/17 09:02

推 ipath19 : 大家的jptt會一直斷線嗎 05/17 09:04

推 freekadze : 現在通常都強迫第一次登入後要改 05/17 09:07

→ kevinmeng2 : 政府帶頭…笑死 05/17 09:12

推 imhan705 : 我自己先把我個資賣了就不怕被賣了 05/17 09:12

→ lyhorcish : 改好才發新聞稿囉 05/17 09:15

推 vancepeng : 販賣個資國家隊 05/17 09:17

推 lnicole2224 : 沒改密碼...這怪政府？ 05/17 09:18

推 neoa01 : 這種政府態度，如資安即國安，台灣岌岌可危啊 05/17 09:24

推 MKIU : 資安國家隊要出動了 05/17 09:24

推 smfy : 系統可以第一次登入強迫改密碼 or 密碼是用登記人個 05/17 09:25

→ smfy : 人資料的內容組成，明明很多系統可以做的事情 05/17 09:26

噓 centaurjr : 能用預設密碼就是平台沒寫好,不然怪誰笑死 05/17 09:33

噓 cityhunter04: 自己不改密碼，怪平台？ 05/17 09:33

推 ChampionYe : 身為工程師不覺得這是系統問題...只是不夠人性化沒 05/17 09:34

→ ChampionYe : 考慮到一群笨user不去改預設密碼而已 05/17 09:34

→ centaurjr : 最好不用怪平台,不然為什麼一堆平台都不用預設密碼 05/17 09:35

推 john0628 : ...預設密碼不更改...笑 05/17 09:35

→ yukari8 : 看推文真的覺得很神奇雖然沒碰政府案子一堆網站加 05/17 09:35

→ centaurjr : 設計過UI就知道不能假設使用者會用好嗎 05/17 09:35

→ yukari8 : 那些密碼規則都會被靠杯麻煩一堆人不想加 05/17 09:36

→ a79111010 : 保皇的在那邊哭結論還是要改善你們在保什麼東西 05/17 09:37

噓 cityhunter04: 生小孩生不出來怪鄰居，便秘拉不出來怪馬桶！ 05/17 09:38

推 ChampionYe : 使用者不會用的東西可多了，所以UX本來就要一直去 05/17 09:39

→ ChampionYe : 精進，這比較算歸類到精進而不是bug 05/17 09:39

推 centaurjr : 精進和BUG有差嗎都要改 05/17 09:39

→ a79111010 : 某人的確像個馬桶滿嘴都 05/17 09:40

推 huabandd : 這幾間公司資安可以開除了吧 05/17 09:40

→ ChampionYe : 對工程師來說有差。 05/17 09:40

→ huabandd : 預設密碼也在用，真的笑死 05/17 09:40

→ centaurjr : 客戶覺得要改就是要改 05/17 09:40

推 jimmy12332 : 就算有改密碼只要輸正確在網際網路上就能看到所 05/17 09:40

→ jimmy12332 : 有會員資料也是不可思議 05/17 09:40

→ centaurjr : 工程師哪有差...mantis都是寫bug...會寫精進嗎笑死 05/17 09:40

推 lasma : 預設密碼就是個不動腦的做法！ 05/17 09:41

推 ChampionYe : 精進跟bug開的單不同吧，工作管理上也不太一樣 05/17 09:41

噓 ciza : 漏就漏啊，民間漏才罰，政府漏沒關係啦 05/17 09:42

→ yukari8 : 這種除非一開始就有開這規格但是你沒做才會寫BUG 不 05/17 09:42

→ yukari8 : 然就是另外開規格單 05/17 09:43

→ centaurjr : 做了有錯也是BUG阿...現在就是有錯不然財政部幹嘛改 05/17 09:44

→ centaurjr : 嘻嘻笑笑說那些企業白癡爛就沒事了不是嗎 05/17 09:45

→ centaurjr : 這種客製化的東西,甲方說你這樣不對就是bug... 05/17 09:46

→ opmikoto : 這...公司資安.. 這種公司的AP密碼大概也是預設吧 05/17 09:47

→ yukari8 : 覺得有問題就要改沒錯但是功能沒寫的東西就不會寫 05/17 09:48

推 godchildtw : 你的系統沒有強制必需要改密碼而且所有人都一樣，這 05/17 09:48

→ godchildtw : 就是你出的包啊。 05/17 09:48

→ godchildtw : 必須 05/17 09:48

→ yukari8 : BUG阿這叫追加功能或修改規格好嗎 05/17 09:48

推 ChampionYe : 這要怪也是怪甲方的資安spec沒有寫到，怪系統有點奇 05/17 09:48

→ ChampionYe : 怪，資安這東西本來就不是0跟1，而是你想做到什麼程 05/17 09:48

→ ChampionYe : 度，你規格沒寫，那沒特別去做也很正常 05/17 09:48

→ luche : 建議設立發票資安辦公室並且升格成財政院 05/17 09:51

→ jacvky : 公司自己沒改算漏洞嗎 05/17 09:53

推 Phineas2635 : 個資不值錢啦在那叫什麼 05/17 09:54

→ pigofwind : 這不是bug，這是精進，跟超買一樣，懂？ 05/17 09:55

→ yehwang : 有政府請安心，請外包大臣發包即可解決 05/17 09:57

推 qk31330 : 這次要成立什麼辦公室呢？ 05/17 09:59

推 jin956 : 有症腐真庵腥又可以成立摑痂隊了預算真好花 05/17 10:08

噓 ycjcsie : 這算漏洞嗎 05/17 10:12

推 mdkn35 : 卦仔：不管政府沒強制沒一直提醒要改就是政府的錯 05/17 10:16

→ mdkn35 : …我還以為我反串沒想到推文真有人這樣想… 05/17 10:17

→ mdkn35 : 不改預設密碼這跟鑰匙丟在馬路上等人撿有何不同？ 05/17 10:18

推 BruceChen227: 我們有IT大臣怕什麼？ 05/17 10:20

推 h07880201 : 就平台爛你自己去銀行開戶看看哪家有預設密碼？ 05/17 10:21

→ h07880201 : 現在一堆申辦都要求馬上改密碼而且給的確認碼預設 05/17 10:21

→ h07880201 : 碼也都是亂碼就算當下沒改也不會大家都一樣 05/17 10:21

→ ryusian : 數位部這次怎麼不請財政部來喝咖啡了？要比照誠品呀 05/17 10:22

→ ryusian : 。 05/17 10:22

噓 ruoming9900 : 使用者自己沒有資安觀念想推給誰？ 05/17 10:29

噓 kitkat1051 : 使用者自己問題怪政府幹嘛… 05/17 10:34

→ pigofwind : 都是使用者不改預設密碼的錯，怎麼能指責政府呢，我 05/17 10:37

→ pigofwind : 把你家鑰匙丟在地上你要撿起來啊XD 05/17 10:37

→ kind5412de : 樓上類比錯誤，這比較像是把鑰匙放門口交給你西歐你 05/17 10:40

→ kind5412de : 不收好，每次用完繼續丟門口，然後怪鎖匠 05/17 10:40

噓 videoproblem: 應該要公布一下那些不改密碼的公司 05/17 10:41

推 a19851106 : 預設密碼至少要是亂碼吧，難道你的網銀預設密碼是身 05/17 10:41

→ a19851106 : 分證字號？ 05/17 10:41

→ tigertiger : 該成立防電子發票外泄辦公室了 05/17 10:49

推 smfy : 感覺很多人都沒寫過系統..寫系統本來就要預設使用者 05/17 10:54

→ smfy : 什麼都不懂，所以要用預設亂碼，定期詢問是否要更改 05/17 10:54

→ smfy : 密碼等機制要求使用者.. 05/17 10:55

→ neoa01 : 這樣的處事還想強調資安即國安xDD 05/17 10:55

→ neilisme : 預設密碼通常會設生分證字號+生日之類的吧 05/17 11:11

→ smfy : 如果有問題都可以推給使用者，工程師就輕鬆多了 XD 05/17 11:11

推 noar : 是該怪政府沒錯，一般銀行都會用隨機密碼跟第一次 05/17 11:12

→ noar : 登入變更了，政府沒想到嗎 05/17 11:12

→ neilisme : 所有人都預設0000 這被盜還有臉怪使用者喔 05/17 11:12

推 leon1757tw : 要成立資安辦公室了嗎？ 05/17 11:18

→ yukari8 : 我覺得怪規格亂開很OK阿說這是BUG就很奇怪 05/17 11:21

→ yukari8 : 規格沒開的功能弄上去業主不喜歡反而才會被當BUG 05/17 11:22

→ yukari8 : 當然他開什麼用什麼頂多問一下反正不要就算了 05/17 11:23

噓 AlarmAlarm : 這怎麼不算漏洞很難預防嗎? 預算拿那麼多什麼都沒 05/17 11:30

→ AlarmAlarm : 做 05/17 11:30

→ pigofwind : 要指責鑰匙丟在地上類比錯誤，先去跟84樓打一架再說 05/17 11:35

→ pigofwind : ，這例子又不是我先提的XD 05/17 11:35

→ nikidd : 笑死自己蠢先怪別人為什麼讓你耍蠢 05/17 11:37

推 Oisiossos : 難怪沒中獎 05/17 11:40

噓 suchidiot : 什麼都能怪，真是廢物大集合 05/17 11:45

推 kinki999 : 預設?? 你去銀行開戶都會蓋隨機密碼紙本 05/17 11:46

推 Ariettina : 我們偉大的黨和政府怎麼可能有錯? 嘻嘻 05/17 11:53

→ Ariettina : 錯的肯定都是提出問題的人 05/17 11:53

推 s900527 : 治安漏洞變成使用者自己問題XD 05/17 12:02

推 uei1201 : 已經有國家反詐騙辦公室了，就算洩漏了我也好安心 05/17 12:04

推 Xpwa563704ju: 白癡是不是，居然不改密碼 05/17 12:08

推 volcom726 : 推文一堆巨嬰XD 05/17 12:09

推 doranako : 第一次登入不是應該強迫改密碼嗎 05/17 12:11

推 Kydland : 從這件事就可以看出左派和右派的差別也可以看出哪 05/17 12:15

→ Kydland : 些人是假右派 05/17 12:15

噓 kairi : 有人妖大臣不怕啦 05/17 12:16

推 s900527 : 一堆傻子以為都使用者問題~資安部門都可以解散了 05/17 12:19

→ s900527 : 政府還花一堆錢在資安上面是在貪污嗎 05/17 12:19

推 worshipyou : 天才外包部門還在做外送app啦，沒空 05/17 12:21

→ worshipyou : 治安漏洞變使用者問題？如果國民黨這樣講還不被幹 05/17 12:22

→ worshipyou : 死，雙標無能政府 05/17 12:22

推 littlehost : 預設密碼首次登入後系統要強迫使用者修改密碼，這 05/17 12:23

→ littlehost : 不是基本要求嗎？資安法的資通系統防護基準就有要 05/17 12:23

→ littlehost : 求了，還沒做到 05/17 12:23

→ littlehost : 然後快使用者？呵呵 05/17 12:24

→ littlehost : 怪 05/17 12:24

推 lawenwen : 都是they的錯 05/17 12:32

噓 sundaystory : 八卦柵欄也是資安漏洞 05/17 12:42

→ FiveSix911 : 不必去查 05/17 12:54

推 sassuck : 八卦柵欄到底什麼時候要修好 05/17 13:36

噓 MercuryET : 預設密碼 05/17 13:48

推 s900527 : 那些整天只想柵欄的中共同路人真的好笑 05/17 13:52

推 clusis : 預設密碼要設使用期限，例如申請後24小時內，政府 05/17 14:35

→ clusis : 單位也太懶了 05/17 14:35

噓 rogerok : 這不算資安問題，算個別人士智障問題 05/17 14:50

噓 rogerok : @版主快來 05/17 14:54

→ pigofwind : 換成證券業這樣搞早就被罵翻了，幸好是政府網站，那 05/17 15:06

→ pigofwind : 就是使用者太蠢跟柵欄的錯了 05/17 15:06

推 kukki : 不是資安工程師的少在那邊耍笨好嗎? OWASP裡就跟你 05/17 15:07

→ kukki : 說系統設計允許使用預設密碼是資安弱點了, 設計系統 05/17 15:07

→ kukki : 不用腦, 難怪資安問題一大堆 05/17 15:08

推 chaoliu : ISO 27001 == 05/17 16:03

推 kingof303 : 自己白癡又怪唐鳳八卦門又沒關放出八卦仔了？ 05/17 20:59

→ olaerc23564 : 為啥會有預設密碼這種東西 05/18 06:34

推 Petrovsky : 呆灣日常 05/20 15:16