作者shinewonder (格羅索 靈魂附體 )
看板Stock
標題[新聞] 130公司資安外洩!電子發票平台爆「有漏
時間Wed May 17 08:43:33 2023
原文標題:130公司資安外洩!電子發票平台爆「有漏洞」 財政部回應了
※請勿刪減原文標題
原文連結:https://reurl.cc/V8yp6A※網址超過一行過長請用縮網址工具
發布時間:2023/05/17 05:03
※請以原文網頁/報紙之發布時間為準
記者署名:林昀萱報導
※原文無記載者得留空
原文內容:
使用電子發票整合服務平台的人注意!有民眾發現,只要在平台輸入企業統編及
政府預設密碼,就可以瀏覽企業會員的資料,包括發票明細、營收等資料都被看光光
。對此,財政部也做出回應。
根據《READr》報導,有民眾指出財政部「電子發票整合服務平台」有資安漏洞,只要在
平台輸入企業統編加上預設密碼,就可以瀏覽企業會員、營收等重大商業資料,調查指出
,1789間上市上櫃的公司中有超過7%企業繼續沿用政府提供預設密碼,至少有78
家上市公司、52間上櫃公司受到影響,其中以光電業最多,依序是半導體產業
、電子零組件業,甚至國營事業也在列。
對此,財政部表示已經改善平台密碼弱點,並通知各公司更改密碼。由於目前是報稅季,
因此先提醒更改,申報期結束後將會推動新版「雙認證模式」。新進公司除了密碼採12位
數字隨機亂碼外,首次登入後將必須輸入第二因子強制變更密碼,並在營利事業登入平台
後顯示前次登入的紀錄並寄發電子郵件通知,以便確認使用情況。
心得/評論:資安即國安,這漏洞是用舊密碼就可以查到上市櫃公司的會員資料、發票明
細、營收等資料。資安防護也是企業經營中很重要的一環。
※必需填寫滿30字,無意義者板規處分
—
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.73.55 (臺灣)
※ 文章網址:https://www.ptt.cc/bbs/Stock/M.1684284215.A.318.html※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:44:16
※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:45:08
推 shyshyan : 我們有天才IT大臣 怕什麼 05/17 08:44
推 HenryLin123 : 預設密碼,是有沒有這麼懶惰? 05/17 08:45
推 peacesignv : 猜猜看有多少人手機開機密碼是0000 XD 05/17 08:47
推 icexfox : 下個推出資安部 05/17 08:47
推 Superxixai : 再成立一個辦公室來成立國家隊 05/17 08:47
推 ab4daa : 垃圾平台 不像ptt還會自動碼掉密碼 05/17 08:48
噓 a069275235 : 回八卦版啦 05/17 08:49
推 bcmaple : 發票國家隊、發票辦公室已經準備好了,有政府好安心 05/17 08:50
→ z7956234 : 一樣重點就那樣,看懂就有錢賺 05/17 08:50
噓 flyingdeeck : 還蠻簡單就解決的事情== 05/17 08:51
→ Ceferino : 大概又要巧立名目增加資安預算了,還不快上車 05/17 08:51
推 lazycat5 : 預設密碼,資安白癡嗎 05/17 08:52
→ piece1 : 所以要炒哪一家? 05/17 08:52
→ aloness : 這問題看起來是各公司使用者沒有改”預設密碼” 05/17 08:52
推 mytropicfish: 八卦仔 可能也是用預設密碼 再來怪別人 05/17 08:53
推 asshead : 預設密碼設時效性就好了 05/17 08:55
→ mecca : 沒改密碼的MIS全部革職 05/17 08:56
推 kinve1014 : 不是有個部門組團去查誠品 這次怎不組團去查? 05/17 08:56
推 ImCPM : 哪個沒漏洞 05/17 08:56
推 grtfor : 預設密碼呀….. 05/17 08:57
噓 zombiepigman: 好慘.. 05/17 08:57
推 HenryLin123 : 八卦仔什麼都怪政府,連預設密碼不改都要怪。 05/17 08:58
推 abs60516 : 光預設密碼統一是政府提供的就有問題吧 05/17 09:01
→ abs60516 : 類似登記人身份證之類的就算了 如果固定是0000 這種 05/17 09:02
→ abs60516 : 當然是你平台設計的問題 05/17 09:02
推 ipath19 : 大家的jptt會一直斷線嗎 05/17 09:04
推 freekadze : 現在通常都強迫第一次登入後要改 05/17 09:07
→ kevinmeng2 : 政府帶頭…笑死 05/17 09:12
推 imhan705 : 我自己先把我個資賣了 就不怕被賣了 05/17 09:12
→ lyhorcish : 改好才發新聞稿囉 05/17 09:15
推 vancepeng : 販賣個資國家隊 05/17 09:17
推 lnicole2224 : 沒改密碼…這怪政府? 05/17 09:18
推 neoa01 : 這種政府態度,如資安即國安,台灣岌岌可危啊 05/17 09:24
推 MKIU : 資安國家隊 要出動了 05/17 09:24
推 smfy : 系統可以第一次登入強迫改密碼 or 密碼是用登記人個 05/17 09:25
→ smfy : 人資料的內容組成,明明很多系統可以做的事情 05/17 09:26
噓 centaurjr : 能用預設密碼就是平台沒寫好,不然怪誰 笑死 05/17 09:33
噓 cityhunter04: 自己不改密碼,怪平台? 05/17 09:33
推 ChampionYe : 身為工程師不覺得這是系統問題…只是不夠人性化沒 05/17 09:34
→ ChampionYe : 考慮到一群笨user不去改預設密碼而已 05/17 09:34
→ centaurjr : 最好不用怪平台,不然為什麼一堆平台都不用預設密碼 05/17 09:35
推 john0628 : …預設密碼不更改…笑 05/17 09:35
→ yukari8 : 看推文真的覺得很神奇 雖然沒碰政府案子 一堆網站加 05/17 09:35
→ centaurjr : 設計過UI就知道不能假設使用者會用好嗎 05/17 09:35
→ yukari8 : 那些密碼規則都會被靠杯麻煩 一堆人不想加 05/17 09:36
→ a79111010 : 保皇的在那邊哭 結論還是要改善 你們在保什麼東西 05/17 09:37
噓 cityhunter04: 生小孩生不出來怪鄰居,便秘拉不出來怪馬桶! 05/17 09:38
推 ChampionYe : 使用者不會用的東西可多了,所以UX本來就要一直去 05/17 09:39
→ ChampionYe : 精進,這比較算歸類到精進而不是bug 05/17 09:39
推 centaurjr : 精進和BUG有差嗎 都要改 05/17 09:39
→ a79111010 : 某人的確像個馬桶 滿嘴都 05/17 09:40
推 huabandd : 這幾間公司資安可以開除了吧 05/17 09:40
→ ChampionYe : 對工程師來說有差。 05/17 09:40
→ huabandd : 預設密碼也在用,真的笑死 05/17 09:40
→ centaurjr : 客戶覺得要改就是要改 05/17 09:40
推 jimmy12332 : 就算有改密碼 只要輸正確 在網際網路上就能看到所 05/17 09:40
→ jimmy12332 : 有會員資料也是不可思議 05/17 09:40
→ centaurjr : 工程師哪有差…mantis都是寫bug…會寫精進嗎 笑死 05/17 09:40
推 lasma : 預設密碼就是個不動腦的做法! 05/17 09:41
推 ChampionYe : 精進跟bug開的單不同吧,工作管理上也不太一樣 05/17 09:41
噓 ciza : 漏就漏啊,民間漏才罰,政府漏沒關係啦 05/17 09:42
→ yukari8 : 這種除非一開始就有開這規格但是你沒做才會寫BUG 不 05/17 09:42
→ yukari8 : 然就是另外開規格單 05/17 09:43
→ centaurjr : 做了有錯也是BUG阿…現在就是有錯不然財政部幹嘛改 05/17 09:44
→ centaurjr : 嘻嘻笑笑說那些企業白癡爛就沒事了不是嗎 05/17 09:45
→ centaurjr : 這種客製化的東西,甲方說你這樣不對就是bug… 05/17 09:46
→ opmikoto : 這…公司資安.. 這種公司的AP密碼大概也是預設吧 05/17 09:47
→ yukari8 : 覺得有問題就要改沒錯 但是功能沒寫的東西就不會寫 05/17 09:48
推 godchildtw : 你的系統沒有強制必需要改密碼而且所有人都一樣,這 05/17 09:48
→ godchildtw : 就是你出的包啊。 05/17 09:48
→ godchildtw : 必須 05/17 09:48
→ yukari8 : BUG阿 這叫追加功能或修改規格好嗎 05/17 09:48
推 ChampionYe : 這要怪也是怪甲方的資安spec沒有寫到,怪系統有點奇 05/17 09:48
→ ChampionYe : 怪,資安這東西本來就不是0跟1,而是你想做到什麼程 05/17 09:48
→ ChampionYe : 度,你規格沒寫,那沒特別去做也很正常 05/17 09:48
→ luche : 建議設立發票資安辦公室並且升格成財政院 05/17 09:51
→ jacvky : 公司自己沒改算漏洞嗎 05/17 09:53
推 Phineas2635 : 個資不值錢啦 在那叫什麼 05/17 09:54
→ pigofwind : 這不是bug,這是精進,跟超買一樣,懂? 05/17 09:55
→ yehwang : 有政府 請安心,請外包大臣發包即可解決 05/17 09:57
推 qk31330 : 這次要成立什麼辦公室呢? 05/17 09:59
推 jin956 : 有症腐 真庵腥 又可以成立摑痂隊了 預算真好花 05/17 10:08
噓 ycjcsie : 這算漏洞嗎 05/17 10:12
推 mdkn35 : 卦仔:不管 政府沒強制沒一直提醒要改 就是政府的錯 05/17 10:16
→ mdkn35 : …我還以為我反串 沒想到推文真有人這樣想… 05/17 10:17
→ mdkn35 : 不改預設密碼 這跟鑰匙丟在馬路上等人撿有何不同? 05/17 10:18
推 BruceChen227: 我們有IT大臣 怕什麼? 05/17 10:20
推 h07880201 : 就平台爛 你自己去銀行開戶 看看哪家有預設密碼? 05/17 10:21
→ h07880201 : 現在一堆申辦都要求馬上改密碼 而且給的確認碼預設 05/17 10:21
→ h07880201 : 碼也都是亂碼 就算當下沒改也不會大家都一樣 05/17 10:21
→ ryusian : 數位部這次怎麼不請財政部來喝咖啡了?要比照誠品呀 05/17 10:22
→ ryusian : 。 05/17 10:22
噓 ruoming9900 : 使用者自己沒有資安觀念想推給誰? 05/17 10:29
噓 kitkat1051 : 使用者自己問題 怪政府幹嘛… 05/17 10:34
→ pigofwind : 都是使用者不改預設密碼的錯,怎麼能指責政府呢,我 05/17 10:37
→ pigofwind : 把你家鑰匙丟在地上你要撿起來啊XD 05/17 10:37
→ kind5412de : 樓上類比錯誤,這比較像是把鑰匙放門口交給你西歐你 05/17 10:40
→ kind5412de : 不收好,每次用完繼續丟門口,然後怪鎖匠 05/17 10:40
噓 videoproblem: 應該要公布一下那些不改密碼的公司 05/17 10:41
推 a19851106 : 預設密碼至少要是亂碼吧,難道你的網銀預設密碼是身 05/17 10:41
→ a19851106 : 分證字號? 05/17 10:41