1.媒體來源:
民報
2.記者署名:
廖珪如
3.完整新聞標題:
《獨家》駭人！ 財政部現資安漏洞 中科院採購險被看光
4.完整新聞內文:
《民報》掌握，一名白帽駭客在9日晚間21時收到財政部子發票平台通知公司帳戶及密碼
，他隨即發現該密碼「是台灣人常用密碼之一」，很難相信財政部如此便宜行事，所以他
以該組密碼輸入到許多公司帳號中測試，「皆顯示登入成功」。晚間22時，隨即通報數位
發展部部長唐鳳，唐鳳希望這名白帽駭客先通報TWCERT（台灣電腦網路危機處理暨協調中
心，下同）再將信件備份給她。5月10日早上9點，接獲TWCERT已將此漏洞轉發給財政部。
財政部郵件通報 營利事業未提高警覺
5月11日傍晚17時，財政部回信給TWCERT稱已經發電子郵件給所有使用電子發票的單位提
醒大家改密碼，全文為「經查您於財政部電子發票整合服務平台使用之登入密碼為預設密
碼或已逾90天未更新。為保障系統使用安全性，請儘速登入財政部電子發票整合服務平台
，並至「營業人功能選單/人員帳號及權限管理/個人資料維護」功能變更登入密碼。」
不過，該封信件顯然被許多單位以為是例行提醒，5月11日白帽駭客們啟動網路巡邏，包
括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑，大家亦致電之前戮力追蹤戶
籍案，時代力量立委邱顯智辦公室，透過國會辦公室發文給財政部要求停用該組密碼，並
啟動重新登入時隨機產生密碼等建議，邱辦亦要求財政部對此案給出相關因應措施。
未料時間來到5月12日中午，白帽駭客巡視了不少家單位，依舊未見更改密碼，其中以國
防採購主力單位「國家中山科學研究院」（中科院）電子發票內容仍一覽無遺，讓愛國心
爆棚的駭客們十分憂心，致電《民報》，期望透過媒體方詢問中科院是否已更改密碼，以
「加速」補破網的過程。本報記者亦在14時致電中科院媒體公關室、國會聯絡人詢問是否
已經接獲數發部、財政部要求更改密碼？
中科院採購裸奔 媒體致電才更改密碼
直到12日下午15：00，中科院都未回覆本報，但本報已接獲白帽駭客測試回報，確認中科
院已完成更改密碼。
《民報》於15:27分再度致電中科院，該院回覆已經由承辦人更改。雖然並未接獲訊息，
但「經詢問財務室本院申請財政部電子發票開立系統之密碼，於使用時已由承辦人變更，
非財政部原始密碼，目前未接獲財政部任何異常通知。」
查出該漏洞的白帽駭客指出，他給TWCERT建議為：一、直接停用所有使用該組當密碼登入
的帳號、二、建立新帳號時，要有隨機密碼並第一次登入更新密碼的流程，而不是沿用該
組密碼、三、要在電子發票平台提供登入記錄查詢功能，以及 email 登入通知，否則帳
號被盜用公司機密外洩自己都不自知。
資安室啟動應變 營利事業將強制換碼
邱顯智辦公室亦在5月12日下午得到財政部回覆，為強化平台資訊安全及參考民眾建議方
案，即進行資安改善措施，包括：5月11日就營利事業透過稽徵機關新申請登入平台之預
設密碼部分，調整為12位英數字亂數密碼、5月11日以電子郵件通知使用預設密碼之營利
事業機構變更密碼。
財政部亦承諾，將於5月13日零時起，針對使用平台配發預設密碼之營利事業，於登入平
台後強制立即變更密碼，並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月
18日起，營利事業登入後，於操作頁面顯示上次登入時間，並以電子郵件通知登入情形，
以供營利事業瞭解帳號登入情況，避免營利事業單位「被登入」而不知。白帽駭客估計本
案將於5月13日財政部強制啟動全面更換密碼後獲得解決。
資安界對公司行號建議：一、盡快改掉密碼、二、停用掉以統編為子帳號名的帳號，改用
其他只有公司內知道的帳號，並將密碼的更換列入知道密碼的人的離職流程。三、不要任
意測試其他公司，財政部有紀錄，若害公司帳號被停權可能違反妨害電腦使用、四、若擔
心過去電子發票可能透過此風險外流，可嘗試詢問財政部調閱登入紀錄。
5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體:
https://www.peoplenews.tw/articles/27c82e35c1
6.備註:
※ 一個人一天只能張貼一則新聞(以天為單位)，被刪或自刪也算額度內，超貼者水桶，請注意
※ 備註請勿張貼三日內新聞(包含連結、標題等)