《獨家》駭人！ 財政部資安漏洞 中科院採購險被看光

編按：本報接獲國家資安漏洞，白帽駭客查出，財政部電子發票平台驚傳公司帳戶密碼全為同一組，可能導致國家單位採購資訊在網上「裸奔」驚魂，不過，全案經《民報》、時代力量立委邱顯智追查後，財政部已於13日啟動登入後強制更改密碼對策；不過，資安界人士指出，不排除尚未有公司對此事件尚無警覺，讓商務往來「一覽無遺」的公司，呼籲有開電子發票的各行各業趕快登入更改密碼。

《民報》掌握，一名白帽駭客在9日晚間21時收到財政部電子發票平台發給公司的帳戶及密碼，他發現該密碼「是台灣人常用密碼之一」，因為難以相信財政部如此便宜行事，所以便以該組密碼輸入到許多公司帳號中測試，「皆顯示登入成功」。晚間22時，隨即通報數位發展部部長唐鳳，唐鳳希望這名白帽駭客先通報TWCERT（台灣電腦網路危機處理暨協調中心，下同）再將信件副本抄送（carbon copy）給她。5月10日早上9點，接獲TWCERT已將此漏洞轉發給財政部。

財政部郵件通報 營利事業未提高警覺

5月11日傍晚17時，財政部回信給TWCERT稱已經發電子郵件給所有使用電子發票的單位提醒大家改密碼，全文為「經查您於財政部電子發票整合服務平台使用之登入密碼為預設密碼或已逾90天未更新。為保障系統使用安全性，請儘速登入財政部電子發票整合服務平台，並至「營業人功能選單/人員帳號及權限管理/個人資料維護」功能變更登入密碼。」

不過，該封信件顯然被許多單位以為是例行提醒，5月11日白帽駭客們啟動網路巡邏，包括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑，大家亦致電之前戮力追蹤戶籍案，時代力量立委邱顯智辦公室，透過國會辦公室發文給財政部要求停用該組密碼，並啟動重新登入時隨機產生密碼等建議，邱辦亦要求財政部對此案給出相關因應措施。

未料時間來到5月12日中午，白帽駭客巡視了不少家單位，依舊未見更改密碼，其中以國防採購主力單位「國家中山科學研究院」（中科院）電子發票內容仍一覽無遺，讓愛國心爆棚的駭客們十分憂心，致電《民報》，期望透過媒體方詢問中科院是否已更改密碼，以「加速」補破網的過程。本報記者亦在14時致電中科院媒體公關室、國會聯絡人詢問是否已經接獲數發部、財政部要求更改密碼？

中科院採購裸奔 媒體致電才更改密碼

直到12日下午15：00，中科院都未回覆本報，但本報已接獲白帽駭客測試回報，確認中科院已完成更改密碼。

但是中科院還未給官方回覆，《民報》只好於15:27分再度致電中科院確認密碼是否已經更改，該院回覆，已經由承辦人更改，雖然並未接獲財政部要求更改密碼訊息，但「經詢問財務室本院申請財政部電子發票開立系統之密碼，於使用時已由承辦人變更，非財政部原始密碼，目前未接獲財政部任何異常通知。」

查出該漏洞的白帽駭客指出，他給TWCERT建議為：一、直接停用所有使用該組當密碼登入的帳號、二、建立新帳號時，要有隨機密碼並第一次登入更新密碼的流程，而不是沿用該組密碼、三、要在電子發票平台提供登入記錄查詢功能，以及 email 登入通知，否則帳號被盜用公司機密外洩自己都不自知。

資安室啟動應變 營利事業將強制換碼

邱顯智辦公室亦在5月12日下午得到財政部回覆，為強化平台資訊安全及參考民眾建議方案，即進行資安改善措施，包括：5月11日就營利事業透過稽徵機關新申請登入平台之預設密碼部分，調整為12位英數字亂數密碼、5月11日以電子郵件通知使用預設密碼之營利事業機構變更密碼。

財政部亦承諾，將於5月13日零時起，針對使用平台配發預設密碼之營利事業，於登入平台後強制立即變更密碼，並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月18日起，營利事業登入後，於操作頁面顯示上次登入時間，並以電子郵件通知登入情形，以供營利事業瞭解帳號登入情況，避免營利事業單位「被登入」而不知。白帽駭客估計本案將於5月13日財政部強制啟動全面更換密碼後獲得解決。

資安界對公司行號建議：一、盡快改掉密碼、二、停用掉以統編為子帳號名的帳號，改用其他只有公司內知道的帳號，並將密碼的更換列入知道密碼的人的離職流程。三、不要任意測試其他公司，財政部有紀錄，若害公司帳號被停權可能違反妨害電腦使用、四、若擔心過去電子發票可能透過此風險外流，可嘗試詢問財政部調閱登入紀錄。

＊本報秉持以公眾利益最大化為原則採回溯式報導