電子發票平臺弱密碼 財部六招補漏
張文熙說明,電子發票服務整合平臺主要提供營利事業針對所開立電子發票存證及查詢,以供帳務及營業稅申報參用。
財資中心5月10日接獲反映,指平臺配賦的預設密碼爲弱密碼,且未強制變更即可登入,存有資安疑慮。
財資中心統計,該平臺目前有39萬6,163家營利事業註冊,其中使用工商憑證註冊者32萬731家,可能受弱密碼影響的僅有以帳號密碼註冊的6萬6,452家(排除已歇業註銷),截至19日尚未變更密碼者計有4萬7,423家。
財資中心表示,事發後已啓動六大應變,11日起新申請登入平臺帳號預設密碼改爲12位英文數字亂數;12日以電郵通知使用預設密碼的營利事業變更密碼;13日起針對使用平臺配發預設密碼者,於登入平臺後強制立即變更密碼。
16日起須輸入第二因子,才能變更預設密碼,以直接阻擋使用舊有預設密碼登入;17日起,營利事業登入後,將於操作頁面顯示上次登入時間;18日起提供營利事業可選擇以電子郵件通知登入情形。
財資中心說明,目前8成營利事業是採工商憑證註冊後自行設定密碼登入整合服務平臺,僅2成營利事業使用整合服務平臺核發的預設密碼登入,財政部有要求使用者變更它的密碼,但過去沒有稽覈到業者是不是真的有變更。
針對後續精進措施,財資中心表示,一是營利事業每90日就需要選擇變更或保留原登入密碼;二是提供營業人調閱查調紀錄;三是後續新申請者,會以加密附件發送強預設密碼。