https://www.storm.mg/lifestyle/4791525
财政部“电子发票平台”爆资安漏洞　超过130家上市柜公司“会员资料恐被看光”
吴哲宜 + 追踪
2023-05-16 09:22
台湾公部门又传资安疑虑！近日一位民众发现财政部“电子发票整合服务平台”爆发资安缺
失，只要输入企业统编、政府提供之默认密码，就可以浏览器企业会员资料；根据爆料，受
影响的企业共有超过130家上市柜公司。
跟据“READr”报导， 一名不愿具名的资安人士爆料，台湾1789间上市柜公司，有超过7的
企业沿用政府提供的默认密码，其中78间上市、56间上柜公司，其中以光电业者最多，其次
为半导体、电子零组件业；此外，连中华邮政、台铁等国营事业或行政法人等组织，也有相
同问题。
对此财政部回应指出，大部分企业在申请电子发票时，是用工商凭证，一开始就可以设定平
台密码，可能有少部分公司因为方便没有改，使用国税局默认密码，已经发通知给各公司强
制更改电子发票平台密码，但是为了不影响现在的营业税收申报作业，先通知企业更换密码
，待申报期结束后会推动新版认证作业，再既有的登入流程之外，再加一个认证机制

这漏洞？不改默认密码干平台啥事看其他报导 问题在名单怎么出来的吧

我记得我看到某篇新闻有人说改了密码以后旧密码照样能登入不过我觉得最大的漏洞是用验证码当密码 然后使用第三方服务时不是用token或OAuth授权 而是把帐密都交出去

唐凤看过后不觉的授权机制有问题吗

现在不管发票或整合各家金融资料的app都用帐密去同步，之前忘了哪个金融app说将会有银行授权同步但都没消息

最早麻布用网银帐密同步就被嫌资安问题了 科科

照其他家的报导，默认密码是所有人都同一组不过5/11已经把默认密码改成随机了，5/13起用默认密码登入则会强制要求改密码(使用双因素验证)不过第二个因子不确定是什么，部分报导写 "税籍代号"(?)

登入后会有一个字段要求输入税籍号码，接着才输入新密码