產經脈動中央社 2023-05-16 12:35:35

電子發票平台營利事業密碼弱點財部推4改善措施

分享到

（中央社記者張璦、蘇思云台北16日電）媒體報導財政部電子發票整合服務平台，使用同組營利事業預設密碼、即可登入，可能衍生資安疑慮。財政部端出4措施、1研議，改善弱點。

首先，新核發12位英數字隨機亂碼預設密碼，再者，企業需輸入第二驗證因子稅籍代號以強制改密碼。同時，系統將每90天提醒、建議更改新密碼；第四，企業自行設定的密碼也需具一定複雜度。至於每次登入是否都需雙因子認證，官員指出，會再研議。

媒體報導，有白帽駭客反映，使用財政部提供的營利事業預設密碼，由於預設密碼皆為同一組、而部分企業後續未變更，因此可憑同組密碼登入電子發票整合服務平台，導致使用電子發票的營利事業或國家單位，有採購資訊外洩的資安疑慮。

財政部財政資訊中心今天表示，整合服務平台營利事業密碼弱點已改善完成，有關報導中所述國家單位開立的電子發票資料，主要為行政支出及紀念品項目，無涉國防採購。

財政資訊中心說明，目前營利事業大多採工商憑證註冊後，自行設定密碼，登入整合服務平台，僅部分營利事業使用整合服務平台核發的預設密碼登入。

為強化系統使用安全性，以舊預設密碼登入後，即強制變更密碼，並應輸入第二因子，才得使用整合服務平台服務。

財政資訊中心進一步指出，整合服務平台新核發的營利事業預設密碼，採12位英數字隨機亂碼，首次登入後，須輸入第二因子，強制變更密碼。

所謂「第二因子」，財政資訊中心官員表示，就是雙重認證的意思，使用者需輸入第二個認證因子稅籍代號，讓系統審核。目前，使用12位亂碼預設密碼登入後，需輸進第二因子，以強制改密碼，至於未來每次登入是否都需雙因子認證，還需再行研議。

官員指出，未來料會參考銀行作法，系統每90天提醒、建議更改新密碼；同時，營利事業自行設定的密碼要具一定複雜度，需符合相關設定條件。

同時，財政資訊中心表示，營利事業登入整合服務平台後，即顯示前次登入紀錄，並得選擇以電子郵件通知該次登入紀錄，方便營利事業確認整合服務平台使用情形。

財政資訊中心指出，整合服務平台已完成改善密碼弱點，呼籲營利事業儘快登入修改預設密碼，並應符合強度密碼規範及妥善保管密碼。

財政資訊中心表示，整合服務平台皆有保存帳號登入紀錄，請勿任意測試登入其他公司行號帳號，導致該帳號停權，而有觸犯「無故入侵他人電腦」罪的風險。

此外，數位部長唐鳳今天上午出席活動受訪表示，數位部資安署第一時間接獲通報後，就有跟財政部聯防，也有督促財政部進行資安通報工作，已經修補完成，這過程中也感謝民間白帽駭客朋友守望相助。（編輯：楊蘭軒）1120516

電子發票平台營利事業密碼弱點 財部推4改善措施