電子發票平台營利事業密碼弱點 財部推4改善措施
(中央社記者張璦、蘇思云台北16日電)媒體報導財政部電子發票整合服務平台,使用同組營利事業預設密碼、即可登入,可能衍生資安疑慮。財政部端出4措施、1研議,改善弱點。
首先,新核發12位英數字隨機亂碼預設密碼,再者,企業需輸入第二驗證因子稅籍代號以強制改密碼。同時,系統將每90天提醒、建議更改新密碼;第四,企業自行設定的密碼也需具一定複雜度。至於每次登入是否都需雙因子認證,官員指出,會再研議。
媒體報導,有白帽駭客反映,使用財政部提供的營利事業預設密碼,由於預設密碼皆為同一組、而部分企業後續未變更,因此可憑同組密碼登入電子發票整合服務平台,導致使用電子發票的營利事業或國家單位,有採購資訊外洩的資安疑慮。
財政部財政資訊中心今天表示,整合服務平台營利事業密碼弱點已改善完成,有關報導中所述國家單位開立的電子發票資料,主要為行政支出及紀念品項目,無涉國防採購。
財政資訊中心說明,目前營利事業大多採工商憑證註冊後,自行設定密碼,登入整合服務平台,僅部分營利事業使用整合服務平台核發的預設密碼登入。
為強化系統使用安全性,以舊預設密碼登入後,即強制變更密碼,並應輸入第二因子,才得使用整合服務平台服務。
財政資訊中心進一步指出,整合服務平台新核發的營利事業預設密碼,採12位英數字隨機亂碼,首次登入後,須輸入第二因子,強制變更密碼。
所謂「第二因子」,財政資訊中心官員表示,就是雙重認證的意思,使用者需輸入第二個認證因子稅籍代號,讓系統審核。目前,使用12位亂碼預設密碼登入後,需輸進第二因子,以強制改密碼,至於未來每次登入是否都需雙因子認證,還需再行研議。
官員指出,未來料會參考銀行作法,系統每90天提醒、建議更改新密碼;同時,營利事業自行設定的密碼要具一定複雜度,需符合相關設定條件。
同時,財政資訊中心表示,營利事業登入整合服務平台後,即顯示前次登入紀錄,並得選擇以電子郵件通知該次登入紀錄,方便營利事業確認整合服務平台使用情形。
財政資訊中心指出,整合服務平台已完成改善密碼弱點,呼籲營利事業儘快登入修改預設密碼,並應符合強度密碼規範及妥善保管密碼。
財政資訊中心表示,整合服務平台皆有保存帳號登入紀錄,請勿任意測試登入其他公司行號帳號,導致該帳號停權,而有觸犯「無故入侵他人電腦」罪的風險。
此外,數位部長唐鳳今天上午出席活動受訪表示,數位部資安署第一時間接獲通報後,就有跟財政部聯防,也有督促財政部進行資安通報工作,已經修補完成,這過程中也感謝民間白帽駭客朋友守望相助。(編輯:楊蘭軒)1120516
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。