電子發票平台爆資安漏洞 事業單位收入等資料隨手可得

時代力量立委邱顯智今天說，財政部的「電子發票整合服務平台」出現重大漏洞，使用財政部發給預設密碼的事業單位，預設密碼通通是同一個，任何人只要輸入統編及該預設密碼，即可瀏覽其發票、收入等會員資料。

邱顯智今天透過新聞稿說明，他的辦公室在5月11日接獲民眾陳情，電子發票整合服務平台出現重大漏洞，使用財政部發給預設密碼的事業單位，預設密碼通通是同一個，這些單位只要從未更改密碼，任何人只要輸入統編及該預設密碼，即可瀏覽其發票、收入等會員資料。

邱顯智表示，他的辦公室立即通知財政部改正，並且密切確認改善狀況，要求財政部停止使用該預設密碼的帳號，建立新帳號的預設密碼應為隨機，而且第一次登入必須更改、平台應提供登入通知及登入紀錄查詢，爾後還有民眾發現中科院等公部門有類似的狀況。

邱顯智說，根據財政部的改善措施，新申請登入平台的預設密碼調整為12位英數字亂數密碼、通知使用預設密碼的營利事業更改登入密碼，針對使用平台配發預設密碼者，登入平台後強制立即變更密碼，5月18日起登入後將顯示上次的登入時間，並且以電子郵件通知登入情形。

邱顯智認為，這是非常嚴重的資安問題，再次顯現公部門對資安的不在乎，除了發給相同的預設密碼，竟然在第一次登入後，沒有要求強制更改預設密碼，造成許多廠商的電子發票資料隨手可得。邱顯智也提醒，使用預設密碼尚未更改的事業單位，應該儘速更改，如果無故輸入他人帳號密碼、導致帳號被停權等行為，可能會違反妨害電腦，請民眾切勿以身試法。