https://www.storm.mg/lifestyle/4791525
財政部「電子發票平台」爆資安漏洞　超過130家上市櫃公司「會員資料恐被看光」
吳哲宜 + 追蹤
2023-05-16 09:22
台灣公部門又傳資安疑慮！近日一位民眾發現財政部「電子發票整合服務平台」爆發資安缺
失，只要輸入企業統編、政府提供之預設密碼，就可以瀏覽器企業會員資料；根據爆料，受
影響的企業共有超過130家上市櫃公司。
跟據「READr」報導， 一名不願具名的資安人士爆料，台灣1789間上市櫃公司，有超過7的
企業沿用政府提供的預設密碼，其中78間上市、56間上櫃公司，其中以光電業者最多，其次
為半導體、電子零組件業；此外，連中華郵政、台鐵等國營事業或行政法人等組織，也有相
同問題。
對此財政部回應指出，大部分企業在申請電子發票時，是用工商憑證，一開始就可以設定平
台密碼，可能有少部分公司因為方便沒有改，使用國稅局預設密碼，已經發通知給各公司強
制更改電子發票平台密碼，但是為了不影響現在的營業稅收申報作業，先通知企業更換密碼
，待申報期結束後會推動新版認證作業，再既有的登入流程之外，再加一個認證機制

這漏洞？不改預設密碼干平台啥事看其他報導 問題在名單怎麼出來的吧

我記得我看到某篇新聞有人說改了密碼以後舊密碼照樣能登入不過我覺得最大的漏洞是用驗證碼當密碼 然後使用第三方服務時不是用token或OAuth授權 而是把帳密都交出去

唐鳳看過後不覺的授權機制有問題嗎

現在不管發票或整合各家金融資料的app都用帳密去同步，之前忘了哪個金融app說將會有銀行授權同步但都沒消息

最早麻布用網銀帳密同步就被嫌資安問題了 科科

照其他家的報導，預設密碼是所有人都同一組不過5/11已經把預設密碼改成隨機了，5/13起用預設密碼登入則會強制要求改密碼(使用雙因素驗證)不過第二個因子不確定是什麼，部分報導寫 "稅籍代號"(?)

登入後會有一個欄位要求輸入稅籍號碼，接著才輸入新密碼