作者
標題 [新聞] 《獨家》駭人! 財政部現資安漏洞 中科院採購險被看光
時間 Tue May 16 00:41:57 2023
標題 [新聞] 《獨家》駭人! 財政部現資安漏洞 中科院採購險被看光
時間 Tue May 16 00:41:57 2023
1.媒體來源:
民報
2.記者署名:
廖珪如
3.完整新聞標題:
《獨家》駭人! 財政部現資安漏洞 中科院採購險被看光
4.完整新聞內文:
《民報》掌握,一名白帽駭客在9日晚間21時收到財政部子發票平台通知公司帳戶及密碼
,他隨即發現該密碼「是台灣人常用密碼之一」,很難相信財政部如此便宜行事,所以他
以該組密碼輸入到許多公司帳號中測試,「皆顯示登入成功」。晚間22時,隨即通報數位
發展部部長唐鳳,唐鳳希望這名白帽駭客先通報TWCERT(台灣電腦網路危機處理暨協調中
心,下同)再將信件備份給她。5月10日早上9點,接獲TWCERT已將此漏洞轉發給財政部。
財政部郵件通報 營利事業未提高警覺
,他隨即發現該密碼「是台灣人常用密碼之一」,很難相信財政部如此便宜行事,所以他
以該組密碼輸入到許多公司帳號中測試,「皆顯示登入成功」。晚間22時,隨即通報數位
發展部部長唐鳳,唐鳳希望這名白帽駭客先通報TWCERT(台灣電腦網路危機處理暨協調中
心,下同)再將信件備份給她。5月10日早上9點,接獲TWCERT已將此漏洞轉發給財政部。
財政部郵件通報 營利事業未提高警覺
5月11日傍晚17時,財政部回信給TWCERT稱已經發電子郵件給所有使用電子發票的單位提
醒大家改密碼,全文為「經查您於財政部電子發票整合服務平台使用之登入密碼為預設密
碼或已逾90天未更新。為保障系統使用安全性,請儘速登入財政部電子發票整合服務平台
,並至「營業人功能選單/人員帳號及權限管理/個人資料維護」功能變更登入密碼。」
醒大家改密碼,全文為「經查您於財政部電子發票整合服務平台使用之登入密碼為預設密
碼或已逾90天未更新。為保障系統使用安全性,請儘速登入財政部電子發票整合服務平台
,並至「營業人功能選單/人員帳號及權限管理/個人資料維護」功能變更登入密碼。」
不過,該封信件顯然被許多單位以為是例行提醒,5月11日白帽駭客們啟動網路巡邏,包
括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑,大家亦致電之前戮力追蹤戶
籍案,時代力量立委邱顯智辦公室,透過國會辦公室發文給財政部要求停用該組密碼,並
啟動重新登入時隨機產生密碼等建議,邱辦亦要求財政部對此案給出相關因應措施。
括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑,大家亦致電之前戮力追蹤戶
籍案,時代力量立委邱顯智辦公室,透過國會辦公室發文給財政部要求停用該組密碼,並
啟動重新登入時隨機產生密碼等建議,邱辦亦要求財政部對此案給出相關因應措施。
未料時間來到5月12日中午,白帽駭客巡視了不少家單位,依舊未見更改密碼,其中以國
防採購主力單位「國家中山科學研究院」(中科院)電子發票內容仍一覽無遺,讓愛國心
爆棚的駭客們十分憂心,致電《民報》,期望透過媒體方詢問中科院是否已更改密碼,以
「加速」補破網的過程。本報記者亦在14時致電中科院媒體公關室、國會聯絡人詢問是否
已經接獲數發部、財政部要求更改密碼?
防採購主力單位「國家中山科學研究院」(中科院)電子發票內容仍一覽無遺,讓愛國心
爆棚的駭客們十分憂心,致電《民報》,期望透過媒體方詢問中科院是否已更改密碼,以
「加速」補破網的過程。本報記者亦在14時致電中科院媒體公關室、國會聯絡人詢問是否
已經接獲數發部、財政部要求更改密碼?
中科院採購裸奔 媒體致電才更改密碼
直到12日下午15:00,中科院都未回覆本報,但本報已接獲白帽駭客測試回報,確認中科
院已完成更改密碼。
《民報》於15:27分再度致電中科院,該院回覆已經由承辦人更改。雖然並未接獲訊息,
但「經詢問財務室本院申請財政部電子發票開立系統之密碼,於使用時已由承辦人變更,
非財政部原始密碼,目前未接獲財政部任何異常通知。」
但「經詢問財務室本院申請財政部電子發票開立系統之密碼,於使用時已由承辦人變更,
非財政部原始密碼,目前未接獲財政部任何異常通知。」
查出該漏洞的白帽駭客指出,他給TWCERT建議為:一、直接停用所有使用該組當密碼登入
的帳號、二、建立新帳號時,要有隨機密碼並第一次登入更新密碼的流程,而不是沿用該
組密碼、三、要在電子發票平台提供登入記錄查詢功能,以及 email 登入通知,否則帳
號被盜用公司機密外洩自己都不自知。
的帳號、二、建立新帳號時,要有隨機密碼並第一次登入更新密碼的流程,而不是沿用該
組密碼、三、要在電子發票平台提供登入記錄查詢功能,以及 email 登入通知,否則帳
號被盜用公司機密外洩自己都不自知。
資安室啟動應變 營利事業將強制換碼
邱顯智辦公室亦在5月12日下午得到財政部回覆,為強化平台資訊安全及參考民眾建議方
案,即進行資安改善措施,包括:5月11日就營利事業透過稽徵機關新申請登入平台之預
設密碼部分,調整為12位英數字亂數密碼、5月11日以電子郵件通知使用預設密碼之營利
事業機構變更密碼。
案,即進行資安改善措施,包括:5月11日就營利事業透過稽徵機關新申請登入平台之預
設密碼部分,調整為12位英數字亂數密碼、5月11日以電子郵件通知使用預設密碼之營利
事業機構變更密碼。
財政部亦承諾,將於5月13日零時起,針對使用平台配發預設密碼之營利事業,於登入平
台後強制立即變更密碼,並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月
18日起,營利事業登入後,於操作頁面顯示上次登入時間,並以電子郵件通知登入情形,
以供營利事業瞭解帳號登入情況,避免營利事業單位「被登入」而不知。白帽駭客估計本
案將於5月13日財政部強制啟動全面更換密碼後獲得解決。
台後強制立即變更密碼,並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月
18日起,營利事業登入後,於操作頁面顯示上次登入時間,並以電子郵件通知登入情形,
以供營利事業瞭解帳號登入情況,避免營利事業單位「被登入」而不知。白帽駭客估計本
案將於5月13日財政部強制啟動全面更換密碼後獲得解決。
資安界對公司行號建議:一、盡快改掉密碼、二、停用掉以統編為子帳號名的帳號,改用
其他只有公司內知道的帳號,並將密碼的更換列入知道密碼的人的離職流程。三、不要任
意測試其他公司,財政部有紀錄,若害公司帳號被停權可能違反妨害電腦使用、四、若擔
心過去電子發票可能透過此風險外流,可嘗試詢問財政部調閱登入紀錄。
其他只有公司內知道的帳號,並將密碼的更換列入知道密碼的人的離職流程。三、不要任
意測試其他公司,財政部有紀錄,若害公司帳號被停權可能違反妨害電腦使用、四、若擔
心過去電子發票可能透過此風險外流,可嘗試詢問財政部調閱登入紀錄。
5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體:
https://www.peoplenews.tw/articles/27c82e35c1
民報 Taiwan People News | 《獨家》駭人! 財政部現資安漏洞 中科院採購險被看光
![[圖]]()
財政部電子發票平台驚傳公司帳戶密碼全為同一組,可能導致國家單位採購資訊在網上「裸奔」驚魂。 ...
![[圖]](https://i4.disp.cc/t/0/www.peoplenews.tw_ra9fb01529043e0d1a9f216d8ce522a2ab.jpeg)
6.備註:
※ 一個人一天只能張貼一則新聞(以天為單位),被刪或自刪也算額度內,超貼者水桶,請注意
※ 備註請勿張貼三日內新聞(包含連結、標題等)
--
地下に潜りたいな って 思いました
風さえなくなれば あったかいのに
ずっと座りたいな って 思いました
いやいや と 外でたら
ハト ハト ハト ハト 大乱闘
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.167.35 (臺灣)
※ 作者: ifulita 2023-05-16 00:41:57
※ 文章代碼(AID): #1aOc3OGq (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1684168920.A.434.html
→ andy199113 …
推 : 歡迎光臨my鳳2F 118.160.213.115 台灣 05/16 00:43
![[圖]](http://i.imgur.com/kLU88ath.jpg)
推 : 蔡政府只在意選舉,都不去抓詐騙集團!!!4F 36.237.35.58 台灣 05/16 00:43
→ : 鄭神豬: 認知作戰5F 115.91.166.165 南韓 05/16 00:43
噓 : 賴功德與台灣阿銘繼續拼選舉6F 61.71.208.54 台灣 05/16 00:43
噓 : 要選舉了7F 180.177.108.29 台灣 05/16 00:45
→ : 已經被看光光了好嗎8F 1.172.207.213 台灣 05/16 00:45
→ : who car9F 36.238.50.202 台灣 05/16 00:45
噓 : 是早上九點上班嗎?10F 180.177.33.135 台灣 05/16 00:45
→ : 1qaz1qaz11F 219.71.161.211 台灣 05/16 00:46
噓 : 數發部12F 223.139.199.178 台灣 05/16 00:46
推 : 預設隨機密碼/第一次強制改密碼居然不是最低要求?13F 125.229.142.121 台灣 05/16 00:49
噓 : 不就是找神秘客踹帳密 踹成功當業績15F 114.32.124.107 台灣 05/16 00:50
推 : 如果阿共打過來 XD
一切都是阿共渗透啦16F 122.118.138.155 台灣 05/16 00:51
一切都是阿共渗透啦16F 122.118.138.155 台灣 05/16 00:51
推 : 唐鳳:小事 交給外包,我們先搞死誠品18F 61.228.173.36 台灣 05/16 00:52
推 : 數位詐騙發展部都不會發公文通知嗎?19F 42.74.147.169 台灣 05/16 00:53
→ : 各位的個資早就被賣光了 政府英明阿20F 219.70.206.238 台灣 05/16 00:54
→ neoa01 …
推 : 有重複功能的單位怎麼不併一併呢^^22F 111.254.215.97 台灣 05/16 00:54
→ neoa01 …
噓 : 花2百多億數發部,竟然要通報者自行處理24F 219.91.55.57 台灣 05/16 00:56
→ : 怎麼不用膠帶貼起來25F 114.32.30.88 台灣 05/16 00:59
![[圖]](http://i.imgur.com/XnTr4hvh.jpg)
→ : 自己人沒事,誠品罪該萬死27F 42.77.251.167 台灣 05/16 01:00
推 : 公開透明靠唐鳳28F 131.249.154.41 美國 05/16 01:00
→ : 我感覺我中文不好29F 111.254.215.97 台灣 05/16 01:01
推 : 先查誠品:D30F 42.77.128.201 台灣 05/16 01:03
推 : 無聊,雙重驗證甚至連密碼都不用設還更安全咧31F 49.216.170.8 台灣 05/16 01:08
推 : 我們有創世神跟天才唐鳳數發部 怕屁怕33F 118.168.15.116 台灣 05/16 01:09
推 : 笑死 數位發展部只會備份信件34F 114.44.151.188 台灣 05/16 01:11
推 : 天才外包大臣 誰敢嘴35F 1.200.132.218 台灣 05/16 01:17
噓 : 綠畜黨麵線部不賣麵線 改賣個資?36F 114.46.115.92 台灣 05/16 01:18
推 : 笑死所以數位發展部在這件事情扮演什麼角色37F 111.242.247.177 台灣 05/16 01:24
→ : 唐風的數位發展部是還在吃麵線嗎39F 210.61.96.240 台灣 05/16 01:25
噓 : 200億40F 114.36.126.194 台灣 05/16 01:28
推 : 天才哀梯大臣繼續在立法院講幹話41F 61.227.59.60 台灣 05/16 01:31
推 : 數位轉接部吧 我猜
要Email可能也是Forward42F 111.254.215.97 台灣 05/16 01:40
要Email可能也是Forward42F 111.254.215.97 台灣 05/16 01:40
推 : 整個國家資安都在打混44F 73.135.31.236 美國 05/16 01:43
→ : 所有人的帳號 預設密碼都是一樣的 然後很多人會懶的改 一部分和系統商有關45F 1.200.2.211 台灣 05/16 01:46
推 : 所以這數位部幹了啥 轉寄?47F 219.91.106.87 台灣 05/16 01:47
→ : 有政府請安心49F 114.137.104.80 台灣 05/16 01:57
推 : 有天才大臣 好安心50F 36.230.132.22 台灣 05/16 02:02
推 : 意外嗎?51F 97.126.73.140 美國 05/16 02:03
推 : 編了兩百億預算的數位發展部+天才
大臣唐鳳,資安
肯定沒問題的52F 101.10.93.162 台灣 05/16 02:04
大臣唐鳳,資安
肯定沒問題的52F 101.10.93.162 台灣 05/16 02:04
噓 : 個資早被賣光光,數位部還在外包笑死菸粉:這一定是阿共的陰謀啦,嘻嘻55F 36.230.23.168 台灣 05/16 02:24
--
作者 ifulita 的最新發文:
![]()
賴清德總統520就職大典,警政署長確定由台北市警察局長張榮興升任,原警政署署長黃 明昭則接任國安局副局長,北市警局局長遺缺,則由現任警專校長方仰寧接任。據了解, 方仰寧長期在台北市服務,尤其待過陳抗活 …162F 83推 7噓![]()
AZKi今天在推特上表示今天是母親節, 這意味著今天是開拓者的媽媽…也就是AZ媽媽的日子嘍? 這話不能講啊! 妳看看妳講這話後有多少人開始跑出來認媽媽了XDDD25F 22推- 6F 4推
- 29F 17推 2噓
- 12F 6推
點此顯示更多發文記錄