電子發票平台資安爆漏洞 逾 7% 上市櫃公司營業隱私恐外洩 - READr 讀+

「臺灣公部門再傳資訊安全疑慮，READr 近日接獲民眾提供一份包含 130 家上市櫃公司的名單，指稱財政部負責的『電子發票整合服務平台』登入系統出現資安缺失：只要輸入名單上企業的統編，以及政府提供的預設密碼，即可瀏覽其會員資料。也就是說，只需使用同一組密碼，包括發票明細、營業收入等企業經營之重大商業資料將一覽無遺。」

「根據此份名單，1789 間上市上櫃公司中就有超過 7% 的企業仍沿用政府提供的預設密碼，其中 78 間為上市公司、52 間為上櫃公司。從產業別來看，光電業最多，其次是半導體業、電子零組件業，甚至連專門從事資訊安全的公司也榜上有名。
這名不願具名的資安從業人員透露，除了上市櫃公司之外，國營事業和受政府監督的行政法人也出現一樣的問題。像是中華郵政、臺灣鐵路管理局等組織，至今仍使用同一組密碼登入其電子發票系統；另有一間具國安背景的行政法人，直至上週才經提醒修改密碼，資安管理形同門戶洞開。」

「對此財政部回應，已通知各公司須強制更改電子發票平台密碼，但因現在是營業稅申報期，不希望影響企業申報作業，所以先提醒變更密碼，待申報期結束，預計推動新版認證作業，採取『雙認證模式』登入，也就是在既有的登入流程之外，再多加一道認證機制，強化資安強度。至於新進公司欲申請密碼，都會獲得一組隨機生成的字串，不再沿用舊制。
『一開始把預設密碼交給使用者，也有提醒他們調整（密碼），但 user 可能因為方便就沒去改。』財政部表示，大部分企業在申請電子發票時，是採取工商憑證，一開始便可以自行設定平台的帳號密碼，因此僅有少部分公司是使用國稅局給予的預設密碼。」

可是這一段超驚悚：「不過，同為此波資安受災戶、一位不願具名的民營公司財務人員指出，他最初是使用國稅局提供的預設密碼，後來因無法登入系統詢問政府單位，並獲得一組新的帳號密碼；沒想到使用新的帳密至今逾 7 年，才發現舊版帳密仍能登入電子發票系統，『如果有心人士進到後台，就可以看到公司賣了哪些東西、賣給誰，總共賺多少錢，這影響很大。』」