國家資安漏洞全都露 中科院採購險被看光 《民報》致電秒改密碼
《民報》揭發國家資案漏洞,財政部電子發票平台驚傳公司帳戶密碼全為同一組,恐導致國家單位採購資訊在網上「一覽無遺」,經《民報》追查後,財政部立即啟動登入後強制更改密碼對策,中科院在記者致電後也秒改密碼。
政治中心/台北報導
2023/06/26 10:00
《民報》掌握,一名白帽駭客在5月9日晚間21時收到財政部電子發票平台發給公司的帳戶及密碼,他發現該密碼「是台灣人常用密碼之一」,因為難以相信財政部如此便宜行事,所以便以該組密碼輸入到許多公司帳號中測試,「皆顯示登入成功」。晚間22時,隨即通報數位發展部部長唐鳳,唐鳳希望這名白帽駭客先通報TWCERT(台灣電腦網路危機處理暨協調中心,下同)再將信件副本抄送(carbon copy)給她。5月10日早上9點,接獲TWCERT已將此漏洞轉發給財政部。
5月11日,白帽駭客們啟動網路巡邏,包括某媒體集團及部分上市櫃科技公司的業務往來仍一覽無疑,時間來到5月12日中午,白帽駭客巡視了不少家單位,依舊未見更改密碼,其中以國防採購主力單位「國家中山科學研究院」(中科院)電子發票內容仍一覽無遺,致電《民報》,期望透過媒體方詢問中科院是否已更改密碼,以「加速」補破網的過程。本報記者亦在14時致電中科院詢問是否已經接獲數發部、財政部要求更改密碼?
直到12日下午15:00,中科院都未回覆本報,但本報已接獲白帽駭客測試回報,確認中科院已完成更改密碼。
財政部亦承諾,將於5月13日零時起,針對使用平台配發預設密碼之營利事業,於登入平台後強制立即變更密碼,並顯示上次登入紀錄及以電子郵件通知登入。財政部也將從5月18日起,營利事業登入後,於操作頁面顯示上次登入時間,並以電子郵件通知登入情形,以供營利事業瞭解帳號登入情況,避免營利事業單位「被登入」而不知。本案在《民報》揭露後,於5月13日財政部強制啟動全面更換密碼後獲得解決。