財政部多管齊下,補救電子發票整合服務平台資安漏洞
財政部轄下的「電子發票整合服務平台」於5月10日經民間白帽駭客主動連絡TWCERT/CC通報資安漏洞,發現部分帳號多年來都使用相同的預設密碼登入平台,立法院交通委員會針對此事,於5月22日邀集數位部、財政部官員備詢。
電子發票服務整合平台主要提供營業人針對所開立之電子發票存證與查詢,以供帳務及營業稅申報使用,根據財資中心統計,平台目前有39萬6,163家營業人註冊,其中約有8成,32萬731家營業人是使用工商憑證註冊後,再自行設定密碼登入平台,排除已歇業註銷者,僅有2成,6萬6,452家營業人是使用平台核發的預設密碼登入,這些營業人即是可能受弱密碼影響的對象。
財資中心提出多重措施,補救平台資安漏洞
財資中心表示,過去財政部雖然有要求使用者變更密碼,但並未切實稽核業者是否真的完成變更,在接獲白帽駭客通報後,中心即祭出幾項措施來強化資安。首先,要求營利事業單位進行密碼變更,並提升密碼強度,新申請登入平台帳號皆被要求預設密碼需為12位英文加數字的亂數;其次,平台會以電子郵件通知使用預設密碼的營業人變更密碼;再其次,平台強制要求使用預設密碼的營業人,在登入平台後必須先行變更密碼。
此外,自5月16日起,擬變更預設密碼者,必須輸入第二因子,以阻擋用戶使用舊有的預設密碼登入;17日起,營業人登入後,可在操作頁面看到前次登入時間;最後,營業人自18日起可選擇以電子郵件通知平台登入情形。
財資中心表示,後續資安把關的精進措施包括日後營業人每90天就會被通知選擇變更或保留原登入密碼;再者,平台還會提供營業人調閱查調紀錄;最後,對於後續新申請者將以加密附件發送強預設密碼。
數位發展部將於政府各級機關進行「韌性巡檢」
數位發展部長唐鳳除建議所有部會和各級機關,都能執行網站資安盤點,以避免類似情況再度發生外,數位部將於今、明兩年全面推行「零信任」架構,要求政府相關網站平台不只使用密碼認證。
唐鳳亦表示數位部近日將進行主動的「韌性巡檢」,也就是事前建立技術層面的共通元件,概念類似建築法規要求建築物需使用防火建材,希望透過巡檢方式預先探查避免潛在風險,預計3個月內整理出基本樣態,並於今年底至明年大規模施行,以防範此類事件發生。民間單位如有需要,政府也可提供共通元件,協助民間業者同步提升資安防護層級。