國家資安漏洞全都露 中科院採購險被看光 《民報》致電秒改密碼

《民報》掌握，一名白帽駭客在5月9日晚間21時收到財政部電子發票平台發給公司的帳戶及密碼，他發現該密碼「是台灣人常用密碼之一」，因為難以相信財政部如此便宜行事，所以便以該組密碼輸入到許多公司帳號中測試，「皆顯示登入成功」。晚間22時，隨即通報數位發展部部長唐鳳，唐鳳希望這名白帽駭客先通報TWCERT（台灣電腦網路危機處理暨協調中心，下同）再將信件副本抄送（carbon copy）給她。5月10日早上9點，接獲TWCERT已將此漏洞轉發給財政部。

5月11日，白帽駭客們啟動網路巡邏，包括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑，時間來到5月12日中午，白帽駭客巡視了不少家單位，依舊未見更改密碼，其中以國防採購主力單位「國家中山科學研究院」（中科院）電子發票內容仍一覽無遺，致電《民報》，期望透過媒體方詢問中科院是否已更改密碼，以「加速」補破網的過程。本報記者亦在14時致電中科院詢問是否已經接獲數發部、財政部要求更改密碼？

直到12日下午15：00，中科院都未回覆本報，但本報已接獲白帽駭客測試回報，確認中科院已完成更改密碼。

財政部亦承諾，將於5月13日零時起，針對使用平台配發預設密碼之營利事業，於登入平台後強制立即變更密碼，並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月18日起，營利事業登入後，於操作頁面顯示上次登入時間，並以電子郵件通知登入情形，以供營利事業瞭解帳號登入情況，避免營利事業單位「被登入」而不知。本案在《民報》揭露後，於5月13日財政部強制啟動全面更換密碼後獲得解決。