看板 Stock
作者
標題 [新聞] 130公司資安外洩!電子發票平台爆「有漏
時間 Wed May 17 08:43:33 2023
作者
標題 [新聞] 130公司資安外洩!電子發票平台爆「有漏
時間 Wed May 17 08:43:33 2023
原文標題:130公司資安外洩!電子發票平台爆「有漏洞」 財政部回應了
※請勿刪減原文標題
原文連結:https://reurl.cc/V8yp6A
130公司資安外洩!電子發票平台爆「有漏洞」 財政部回應了 | 生活 | 三立新聞網 SETN.COM
![[圖]]()
使用電子發票整合服務平台的人注意!有民眾發現,只要在平台輸入企業統編及政府預設密碼,就可以瀏覽企業會員的資料,包括發票明細、營收等資料都被看光光。對此,財政部也做出回應。 ...
![[圖]](https://attach.setn.com/newsimages/2022/09/14/3824618-PH.jpg)
※網址超過一行過長請用縮網址工具
發布時間:2023/05/17 05:03
※請以原文網頁/報紙之發布時間為準
記者署名:林昀萱報導
※原文無記載者得留空
原文內容:
使用電子發票整合服務平台的人注意!有民眾發現,只要在平台輸入企業統編及
政府預設密碼,就可以瀏覽企業會員的資料,包括發票明細、營收等資料都被看光光
。對此,財政部也做出回應。
根據《READr》報導,有民眾指出財政部「電子發票整合服務平台」有資安漏洞,只要在
平台輸入企業統編加上預設密碼,就可以瀏覽企業會員、營收等重大商業資料,調查指出
,1789間上市上櫃的公司中有超過7%企業繼續沿用政府提供預設密碼,至少有78
平台輸入企業統編加上預設密碼,就可以瀏覽企業會員、營收等重大商業資料,調查指出
,1789間上市上櫃的公司中有超過7%企業繼續沿用政府提供預設密碼,至少有78
家上市公司、52間上櫃公司受到影響,其中以光電業最多,依序是半導體產業
、電子零組件業,甚至國營事業也在列。
對此,財政部表示已經改善平台密碼弱點,並通知各公司更改密碼。由於目前是報稅季,
因此先提醒更改,申報期結束後將會推動新版「雙認證模式」。新進公司除了密碼採12位
數字隨機亂碼外,首次登入後將必須輸入第二因子強制變更密碼,並在營利事業登入平台
後顯示前次登入的紀錄並寄發電子郵件通知,以便確認使用情況。
因此先提醒更改,申報期結束後將會推動新版「雙認證模式」。新進公司除了密碼採12位
數字隨機亂碼外,首次登入後將必須輸入第二因子強制變更密碼,並在營利事業登入平台
後顯示前次登入的紀錄並寄發電子郵件通知,以便確認使用情況。
心得/評論:資安即國安,這漏洞是用舊密碼就可以查到上市櫃公司的會員資料、發票明
細、營收等資料。資安防護也是企業經營中很重要的一環。
※必需填寫滿30字,無意義者板規處分
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.73.55 (臺灣)
※ 作者: shinewonder 2023-05-17 08:43:33
※ 文章代碼(AID): #1aP2CtCO (Stock)
※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1684284215.A.318.html
※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:44:16
※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:45:08
--
※ 編輯: shinewonder (223.136.73.55 臺灣), 05/17/2023 08:45:08
推 : 我們有天才IT大臣 怕什麼1F 05/17 08:44
推 : 預設密碼,是有沒有這麼懶惰?2F 05/17 08:45
推 : 猜猜看有多少人手機開機密碼是0000 XD3F 05/17 08:47
推 : 下個推出資安部4F 05/17 08:47
推 : 再成立一個辦公室來成立國家隊5F 05/17 08:47
推 : 垃圾平台 不像ptt還會自動碼掉密碼6F 05/17 08:48
噓 : 回八卦版啦7F 05/17 08:49
推 : 發票國家隊、發票辦公室已經準備好了,有政府好安心8F 05/17 08:50
→ : 一樣重點就那樣,看懂就有錢賺9F 05/17 08:50
噓 : 還蠻簡單就解決的事情==10F 05/17 08:51
→ : 大概又要巧立名目增加資安預算了,還不快上車11F 05/17 08:51
推 : 預設密碼,資安白癡嗎12F 05/17 08:52
→ : 所以要炒哪一家?13F 05/17 08:52
→ : 這問題看起來是各公司使用者沒有改"預設密碼"14F 05/17 08:52
推 : 八卦仔 可能也是用預設密碼 再來怪別人15F 05/17 08:53
推 : 預設密碼設時效性就好了16F 05/17 08:55
→ : 沒改密碼的MIS全部革職17F 05/17 08:56
推 : 不是有個部門組團去查誠品 這次怎不組團去查?18F 05/17 08:56
推 : 哪個沒漏洞19F 05/17 08:56
推 : 預設密碼呀.....20F 05/17 08:57
噓 : 好慘..21F 05/17 08:57
推 : 八卦仔什麼都怪政府,連預設密碼不改都要怪。22F 05/17 08:58
推 : 光預設密碼統一是政府提供的就有問題吧
類似登記人身份證之類的就算了 如果固定是0000 這種當然是你平台設計的問題23F 05/17 09:01
類似登記人身份證之類的就算了 如果固定是0000 這種當然是你平台設計的問題23F 05/17 09:01
推 : 大家的jptt會一直斷線嗎26F 05/17 09:04
推 : 現在通常都強迫第一次登入後要改27F 05/17 09:07
→ : 政府帶頭…笑死28F 05/17 09:12
推 : 我自己先把我個資賣了 就不怕被賣了29F 05/17 09:12
→ : 改好才發新聞稿囉30F 05/17 09:15
推 : 販賣個資國家隊31F 05/17 09:17
推 : 沒改密碼...這怪政府?32F 05/17 09:18
推 : 這種政府態度,如資安即國安,台灣岌岌可危啊33F 05/17 09:24
推 : 資安國家隊 要出動了34F 05/17 09:24
推 : 系統可以第一次登入強迫改密碼 or 密碼是用登記人個人資料的內容組成,明明很多系統可以做的事情35F 05/17 09:25
噓 : 能用預設密碼就是平台沒寫好,不然怪誰 笑死37F 05/17 09:33
噓 : 自己不改密碼,怪平台?38F 05/17 09:33
推 : 身為工程師不覺得這是系統問題...只是不夠人性化沒考慮到一群笨user不去改預設密碼而已39F 05/17 09:34
→ : 最好不用怪平台,不然為什麼一堆平台都不用預設密碼41F 05/17 09:35
推 : ...預設密碼不更改...笑42F 05/17 09:35
→ : 看推文真的覺得很神奇 雖然沒碰政府案子 一堆網站加43F 05/17 09:35
→ : 設計過UI就知道不能假設使用者會用好嗎44F 05/17 09:35
→ : 那些密碼規則都會被靠杯麻煩 一堆人不想加45F 05/17 09:36
→ : 保皇的在那邊哭 結論還是要改善 你們在保什麼東西46F 05/17 09:37
噓 : 生小孩生不出來怪鄰居,便秘拉不出來怪馬桶!47F 05/17 09:38
推 : 使用者不會用的東西可多了,所以UX本來就要一直去精進,這比較算歸類到精進而不是bug48F 05/17 09:39
推 : 精進和BUG有差嗎 都要改50F 05/17 09:39
→ : 某人的確像個馬桶 滿嘴都51F 05/17 09:40
推 : 這幾間公司資安可以開除了吧52F 05/17 09:40
→ : 對工程師來說有差。53F 05/17 09:40
→ : 預設密碼也在用,真的笑死54F 05/17 09:40
→ : 客戶覺得要改就是要改55F 05/17 09:40
推 : 就算有改密碼 只要輸正確 在網際網路上就能看到所有會員資料也是不可思議56F 05/17 09:40
→ : 工程師哪有差...mantis都是寫bug...會寫精進嗎 笑死58F 05/17 09:40
推 : 預設密碼就是個不動腦的做法!59F 05/17 09:41
推 : 精進跟bug開的單不同吧,工作管理上也不太一樣60F 05/17 09:41
噓 : 漏就漏啊,民間漏才罰,政府漏沒關係啦61F 05/17 09:42
→ : 這種除非一開始就有開這規格但是你沒做才會寫BUG 不然就是另外開規格單62F 05/17 09:42
→ : 做了有錯也是BUG阿...現在就是有錯不然財政部幹嘛改嘻嘻笑笑說那些企業白癡爛就沒事了不是嗎
這種客製化的東西,甲方說你這樣不對就是bug...64F 05/17 09:44
這種客製化的東西,甲方說你這樣不對就是bug...64F 05/17 09:44
→ : 這...公司資安.. 這種公司的AP密碼大概也是預設吧67F 05/17 09:47
→ : 覺得有問題就要改沒錯 但是功能沒寫的東西就不會寫68F 05/17 09:48
推 : 你的系統沒有強制必需要改密碼而且所有人都一樣,這就是你出的包啊。
必須69F 05/17 09:48
必須69F 05/17 09:48
→ : BUG阿 這叫追加功能或修改規格好嗎72F 05/17 09:48
推 : 這要怪也是怪甲方的資安spec沒有寫到,怪系統有點奇怪,資安這東西本來就不是0跟1,而是你想做到什麼程度,你規格沒寫,那沒特別去做也很正常73F 05/17 09:48
→ : 建議設立發票資安辦公室並且升格成財政院76F 05/17 09:51
→ : 公司自己沒改算漏洞嗎77F 05/17 09:53
推 : 個資不值錢啦 在那叫什麼78F 05/17 09:54
→ : 這不是bug,這是精進,跟超買一樣,懂?79F 05/17 09:55
→ : 有政府 請安心,請外包大臣發包即可解決80F 05/17 09:57
推 : 這次要成立什麼辦公室呢?81F 05/17 09:59
推 : 有症腐 真庵腥 又可以成立摑痂隊了 預算真好花82F 05/17 10:08
噓 : 這算漏洞嗎83F 05/17 10:12
推 : 卦仔:不管 政府沒強制沒一直提醒要改 就是政府的錯…我還以為我反串 沒想到推文真有人這樣想…
不改預設密碼 這跟鑰匙丟在馬路上等人撿有何不同?84F 05/17 10:16
不改預設密碼 這跟鑰匙丟在馬路上等人撿有何不同?84F 05/17 10:16
推 : 我們有IT大臣 怕什麼?87F 05/17 10:20
推 : 就平台爛 你自己去銀行開戶 看看哪家有預設密碼?現在一堆申辦都要求馬上改密碼 而且給的確認碼預設碼也都是亂碼 就算當下沒改也不會大家都一樣88F 05/17 10:21
→ : 數位部這次怎麼不請財政部來喝咖啡了?要比照誠品呀。91F 05/17 10:22
噓 : 使用者自己沒有資安觀念想推給誰?93F 05/17 10:29
噓 : 使用者自己問題 怪政府幹嘛…94F 05/17 10:34
→ : 都是使用者不改預設密碼的錯,怎麼能指責政府呢,我把你家鑰匙丟在地上你要撿起來啊XD95F 05/17 10:37
→ : 樓上類比錯誤,這比較像是把鑰匙放門口交給你西歐你不收好,每次用完繼續丟門口,然後怪鎖匠97F 05/17 10:40
噓 : 應該要公布一下那些不改密碼的公司99F 05/17 10:41
推 : 預設密碼至少要是亂碼吧,難道你的網銀預設密碼是身分證字號?100F 05/17 10:41
→ : 該成立防電子發票外泄辦公室了102F 05/17 10:49
推 : 感覺很多人都沒寫過系統..寫系統本來就要預設使用者什麼都不懂,所以要用預設亂碼,定期詢問是否要更改密碼等機制要求使用者..103F 05/17 10:54
→ : 這樣的處事還想強調資安即國安xDD106F 05/17 10:55
→ : 預設密碼通常會設生分證字號+生日之類的吧107F 05/17 11:11
→ : 如果有問題都可以推給使用者,工程師就輕鬆多了 XD108F 05/17 11:11
推 : 是該怪政府沒錯,一般銀行都會用隨機密碼跟第一次登入變更了,政府沒想到嗎109F 05/17 11:12
→ : 所有人都預設0000 這被盜還有臉怪使用者喔111F 05/17 11:12
推 : 要成立資安辦公室了嗎?112F 05/17 11:18
→ : 我覺得怪規格亂開很OK阿 說這是BUG就很奇怪
規格沒開的功能弄上去 業主不喜歡反而才會被當BUG當然他開什麼用什麼 頂多問一下 反正不要就算了113F 05/17 11:21
規格沒開的功能弄上去 業主不喜歡反而才會被當BUG當然他開什麼用什麼 頂多問一下 反正不要就算了113F 05/17 11:21
噓 : 這怎麼不算漏洞 很難預防嗎? 預算拿那麼多什麼都沒做116F 05/17 11:30
→ : 要指責鑰匙丟在地上類比錯誤,先去跟84樓打一架再說,這例子又不是我先提的XD118F 05/17 11:35
→ : 笑死 自己蠢 先怪別人為什麼讓你耍蠢120F 05/17 11:37
推 : 難怪沒中獎121F 05/17 11:40
噓 : 什麼都能怪,真是廢物大集合122F 05/17 11:45
推 : 預設?? 你去銀行開戶都會蓋隨機密碼紙本123F 05/17 11:46
推 : 我們偉大的黨和政府怎麼可能有錯? 嘻嘻
錯的肯定都是提出問題的人124F 05/17 11:53
錯的肯定都是提出問題的人124F 05/17 11:53
推 : 治安漏洞變成使用者自己問題XD126F 05/17 12:02
推 : 已經有國家反詐騙辦公室了,就算洩漏了我也好安心127F 05/17 12:04
推 : 白癡是不是,居然不改密碼128F 05/17 12:08
推 : 推文一堆巨嬰XD129F 05/17 12:09
推 : 第一次登入不是應該強迫改密碼嗎130F 05/17 12:11
推 : 從這件事就可以看出左派和右派的差別 也可以看出哪些人是假右派131F 05/17 12:15
噓 : 有人妖大臣 不怕啦133F 05/17 12:16
推 : 一堆傻子以為都使用者問題~資安部門都可以解散了
政府還花一堆錢在資安上面是在貪污嗎134F 05/17 12:19
政府還花一堆錢在資安上面是在貪污嗎134F 05/17 12:19
推 : 天才外包部門還在做外送app啦,沒空
治安漏洞變使用者問題?如果國民黨這樣講還不被幹死,雙標無能政府136F 05/17 12:21
治安漏洞變使用者問題?如果國民黨這樣講還不被幹死,雙標無能政府136F 05/17 12:21
推 : 預設密碼首次登入後系統要強迫使用者修改密碼,這不是基本要求嗎?資安法的資通系統防護基準就有要求了,還沒做到
然後快使用者?呵呵
怪139F 05/17 12:23
然後快使用者?呵呵
怪139F 05/17 12:23
推 : 都是they的錯144F 05/17 12:32
噓 : 八卦柵欄也是資安漏洞145F 05/17 12:42
→ : 不必去查146F 05/17 12:54
推 : 八卦柵欄到底什麼時候要修好147F 05/17 13:36
噓 : 預設密碼148F 05/17 13:48
推 : 那些整天只想柵欄的中共同路人真的好笑149F 05/17 13:52
推 : 預設密碼要設使用期限,例如申請後24小時內,政府單位也太懶了150F 05/17 14:35
噓 : 這不算資安問題,算個別人士智障問題
@版主快來152F 05/17 14:50
@版主快來152F 05/17 14:50
→ : 換成證券業這樣搞早就被罵翻了,幸好是政府網站,那就是使用者太蠢跟柵欄的錯了154F 05/17 15:06
推 : 不是資安工程師的少在那邊耍笨好嗎? OWASP裡就跟你說系統設計允許使用預設密碼是資安弱點了, 設計系統不用腦, 難怪資安問題一大堆156F 05/17 15:07
推 : ISO 27001 ==159F 05/17 16:03
推 : 自己白癡又怪唐鳳 八卦門又沒關放出八卦仔了?160F 05/17 20:59
→ : 為啥會有預設密碼這種東西161F 05/18 06:34
--
作者 shinewonder 的最新發文:
- 書豪今天宣布退休 球迷都驚呆了 幾個月前書豪冠軍賽表現還歷歷在目 雖然切入已經衰退許多 但靠大顆豪火球、中距離 、 比賽解讀,還是沒人守的住 書豪都37歲了 但有看比賽的都知道 他還是無解般存在 就 …76F 48推
- 17F 13推
![]()
光看前半場 中華有多順就有多順 第三節眼看伊朗要追上 但再度把領先分數擴大 完全澆熄伊朗反攻氣焰 第四節的伊朗完全變身 直接打一波 20:8 最後拉鋸戰 伊朗完全掌控情勢 加上中華軟手 熟悉的中華又 …55F 29推 5噓- 57F 19推 4噓
- 大B是頂級籃下藍領球員 他的功能就是護框 籃板 吃餅 這樣就夠了 這些都是中華最需要的 大B甚至連罰球都長出來了 , 弱項如犯規與違例 也都在進步 而過往的阿提諾 攤手 抱怨裁判、隊友 罰球很差 籃 …144F 75推 12噓
點此顯示更多發文記錄