1.媒体来源:
民报
2.记者署名:
廖珪如
3.完整新闻标题:
《独家》骇人！ 财政部现资安漏洞 中科院采购险被看光
4.完整新闻内文:
《民报》掌握，一名白帽骇客在9日晚间21时收到财政部子发票平台通知公司帐户及密码
，他随即发现该密码“是台湾人常用密码之一”，很难相信财政部如此便宜行事，所以他
以该组密码输入到许多公司帐号中测试，“皆显示登入成功”。晚间22时，随即通报数位
发展部部长唐凤，唐凤希望这名白帽骇客先通报TWCERT（台湾电脑网络危机处理暨协调中
心，下同）再将信件备份给她。5月10日早上9点，接获TWCERT已将此漏洞转发给财政部。
财政部邮件通报 营利事业未提高警觉
5月11日傍晚17时，财政部回信给TWCERT称已经发电子邮件给所有使用电子发票的单位提
醒大家改密码，全文为“经查您于财政部电子发票整合服务平台使用之登入密码为默认密
码或已逾90天未更新。为保障系统使用安全性，请尽速登入财政部电子发票整合服务平台
，并至“营业人功能选单/人员帐号及权限管理/个人资料维护”功能变更登入密码。”
不过，该封信件显然被许多单位以为是例行提醒，5月11日白帽骇客们启动网络巡逻，包
括某媒体集团及部分上市柜科技公司的业务往来仍一览无疑，大家亦致电之前戮力追踪户
籍案，时代力量立委邱显智办公室，透过国会办公室发文给财政部要求停用该组密码，并
启动重新登入时随机产生密码等建议，邱办亦要求财政部对此案给出相关因应措施。
未料时间来到5月12日中午，白帽骇客巡视了不少家单位，依旧未见更改密码，其中以国
防采购主力单位“国家中山科学研究院”（中科院）电子发票内容仍一览无遗，让爱国心
爆棚的骇客们十分忧心，致电《民报》，期望透过媒体方询问中科院是否已更改密码，以
“加速”补破网的过程。本报记者亦在14时致电中科院媒体公关室、国会联络人询问是否
已经接获数发部、财政部要求更改密码？
中科院采购裸奔 媒体致电才更改密码
直到12日下午15：00，中科院都未回复本报，但本报已接获白帽骇客测试回报，确认中科
院已完成更改密码。
《民报》于15:27分再度致电中科院，该院回复已经由承办人更改。虽然并未接获讯息，
但“经询问财务室本院申请财政部电子发票开立系统之密码，于使用时已由承办人变更，
非财政部原始密码，目前未接获财政部任何异常通知。”
查出该漏洞的白帽骇客指出，他给TWCERT建议为：一、直接停用所有使用该组当密码登入
的帐号、二、建立新帐号时，要有随机密码并第一次登入更新密码的流程，而不是沿用该
组密码、三、要在电子发票平台提供登入记录查询功能，以及 email 登入通知，否则帐
号被盗用公司机密外泄自己都不自知。
资安室启动应变 营利事业将强制换码
邱显智办公室亦在5月12日下午得到财政部回复，为强化平台资讯安全及参考民众建议方
案，即进行资安改善措施，包括：5月11日就营利事业透过稽征机关新申请登入平台之预
设密码部分，调整为12位英数字乱数密码、5月11日以电子邮件通知使用默认密码之营利
事业机构变更密码。
财政部亦承诺，将于5月13日零时起，针对使用平台配发默认密码之营利事业，于登入平
台后强制立即变更密码，并显示上次登入纪录及以电子邮件通知登入。财政部也将从5月
18日起，营利事业登入后，于操作页面显示上次登入时间，并以电子邮件通知登入情形，
以供营利事业了解帐号登入情况，避免营利事业单位“被登入”而不知。白帽骇客估计本
案将于5月13日财政部强制启动全面更换密码后获得解决。
资安界对公司行号建议：一、尽快改掉密码、二、停用掉以统编为子帐号名的帐号，改用
其他只有公司内知道的帐号，并将密码的更换列入知道密码的人的离职流程。三、不要任
意测试其他公司，财政部有纪录，若害公司帐号被停权可能违反妨害电脑使用、四、若担
心过去电子发票可能透过此风险外流，可尝试询问财政部调阅登入纪录。
5.完整新闻连结 (或短网址)不可用YAHOO、LINE、MSN等转载媒体:
https://www.peoplenews.tw/articles/27c82e35c1
6.备注:
※ 一个人一天只能张贴一则新闻(以天为单位)，被删或自删也算额度内，超贴者水桶，请注意
※ 备注请勿张贴三日内新闻(包含连结、标题等)