[新聞] 財政部「電子發票平台」爆資安漏洞 超過130家上市櫃公司「會員資料恐被看光」

看板einvoice (電子發票板)作者 ( )時間10月前 (2023/05/16 11:39), 編輯推噓4(4011)
留言15則, 7人參與, 10月前最新討論串1/1
https://www.storm.mg/lifestyle/4791525 財政部「電子發票平台」爆資安漏洞 超過130家上市櫃公司「會員資料恐被看光」 吳哲宜 + 追蹤 2023-05-16 09:22 台灣公部門又傳資安疑慮!近日一位民眾發現財政部「電子發票整合服務平台」爆發資安缺 失,只要輸入企業統編、政府提供之預設密碼,就可以瀏覽器企業會員資料;根據爆料,受 影響的企業共有超過130家上市櫃公司。 跟據「READr」報導, 一名不願具名的資安人士爆料,台灣1789間上市櫃公司,有超過7的 企業沿用政府提供的預設密碼,其中78間上市、56間上櫃公司,其中以光電業者最多,其次 為半導體、電子零組件業;此外,連中華郵政、台鐵等國營事業或行政法人等組織,也有相 同問題。 對此財政部回應指出,大部分企業在申請電子發票時,是用工商憑證,一開始就可以設定平 台密碼,可能有少部分公司因為方便沒有改,使用國稅局預設密碼,已經發通知給各公司強 制更改電子發票平台密碼,但是為了不影響現在的營業稅收申報作業,先通知企業更換密碼 ,待申報期結束後會推動新版認證作業,再既有的登入流程之外,再加一個認證機制 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.40.109 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/einvoice/M.1684208371.A.32B.html

05/16 12:50, 10月前 , 1F
這漏洞?不改預設密碼干平台啥事
05/16 12:50, 1F

05/16 12:58, 10月前 , 2F
看其他報導 問題在名單怎麼出來的吧
05/16 12:58, 2F

05/16 13:19, 10月前 , 3F
我記得我看到某篇新聞有人說改了密碼以後舊密碼照樣能
05/16 13:19, 3F

05/16 13:19, 10月前 , 4F
登入
05/16 13:19, 4F

05/16 13:21, 10月前 , 5F
不過我覺得最大的漏洞是用驗證碼當密碼 然後使用第三方
05/16 13:21, 5F

05/16 13:21, 10月前 , 6F
服務時不是用token或OAuth授權 而是把帳密都交出去
05/16 13:21, 6F

05/16 19:28, 10月前 , 7F
唐鳳看過後不覺的授權機制有問題嗎
05/16 19:28, 7F

05/17 13:05, 10月前 , 8F
現在不管發票或整合各家金融資料的app都用帳密去同步,之
05/17 13:05, 8F

05/17 13:05, 10月前 , 9F
前忘了哪個金融app說將會有銀行授權同步但都沒消息
05/17 13:05, 9F

05/17 13:14, 10月前 , 10F
最早麻布用網銀帳密同步就被嫌資安問題了 科科
05/17 13:14, 10F

05/18 15:36, 10月前 , 11F
照其他家的報導,預設密碼是所有人都同一組
05/18 15:36, 11F

05/18 15:36, 10月前 , 12F
不過5/11已經把預設密碼改成隨機了,5/13起用預設密碼
05/18 15:36, 12F

05/18 15:37, 10月前 , 13F
登入則會強制要求改密碼(使用雙因素驗證)
05/18 15:37, 13F

05/18 15:40, 10月前 , 14F
不過第二個因子不確定是什麼,部分報導寫 "稅籍代號"(?)
05/18 15:40, 14F

05/19 22:31, 10月前 , 15F
登入後會有一個欄位要求輸入稅籍號碼,接著才輸入新密碼
05/19 22:31, 15F
文章代碼(AID): #1aOlhpCh (einvoice)
文章代碼(AID): #1aOlhpCh (einvoice)