即時中心/劉書旋報導
時代力量立委邱顯智今(16)日揭露,「財政部電子發票整合服務平台」發給每一位申請事業單位的系統密碼都一樣,且未要求業者變更密碼,代表駭客只要用同一組密碼就可以窺看全台大量公司的發票紀錄。財政部指出,已推出強制系統使用者變更密碼等措施,也呼籲有心人士勿任意測試登入其他公司帳號,而有觸犯「無故入侵他人電腦」罪的風險。
邱顯智本月11日接獲民眾陳情指出「財政部電子發票整合服務平台」出現重大漏洞,若使用財政部發給預設密碼的事業單位,預設密碼通通是同一個,也就是說,許多業者只要從未更改過密碼,任何人只要輸入統編及該預設密碼,即可瀏覽其發票、收入等會員資料。
邱顯智表示,辦公室收到訊息當天立刻通知財政部改正並密切確認改善狀況,具體要求財政部應停用使用該預設密碼的帳號、建立新帳號時,預設密碼應為隨機且第一次登入必須更改、平台應提供登入通知及登入紀錄查詢。民眾12日更發現中科院等公部門有一樣的狀況。
邱顯智指出,這是嚴重的資安問題,公部門除了發給相同的預設密碼外,竟然在第一次登入後沒有要求強制更改預設密碼,造成許多廠商的電子發票資料隨手可得。
財政部財政資訊中心回應,整合服務平台營利事業密碼弱點已改善完成,有關報導中所提到國家單位開立的電子發票資料主要為行政支出及紀念品項目,與國防採購無關。
財政資訊中心說明,目前營利事業多採工商憑證註冊後,自行設定密碼登入整合服務平台,僅部分營利事業使用整合服務平台核發的預設密碼登入。為強化系統使用安全性,以舊預設密碼登入後即強制變更密碼,並應輸入第二因子,使用者才能使用整合服務平台服務。
財政資訊中心也呼籲,整合服務平台已完成改善密碼弱點,請營利事業儘快登入修改預設密碼,並應符合強度密碼規範及妥善保管密碼。另整合服務平台皆有保存帳號登入紀錄,該中心也提醒民眾請勿任意「測試登入其他公司行號帳號」導致該帳號停權,而有觸犯「無故入侵他人電腦」罪之風險。