有企業因使用財政部電子發票整合服務平台提供預設密碼,恐讓企業資訊外洩,對此,財政部財政資訊中心表示,為強化系統安全性,將從 4 面向著手,包括:強制要求企業變更密碼、企業需輸入稅籍號碼強制更改代號、設定密碼須有一定複雜度,同時建議每 90 天更新一次密碼。
媒體報導,白帽駭客使用營利事業預設密碼可登入財政部電子發票整合服務平台,導致使用電子發票的營利事業或國家單位採購資訊外洩,衍生資安疑慮。
財政資訊中心對此表示,企業以工商憑證註冊後,可自行設定密碼登入平台,僅部分營利事業使用整合服務平台核發的預設密碼登入,為強化系統使用安全性,以舊預設密碼登入後即強制變更密碼,並應輸入第二驗證因子,才能使用整合服務平台服務。
財政資訊中心表示,整合服務平台營利事業密碼弱點已改善完成,有關報導中所述國家單位開立的電子發票資料主要為行政支出及紀念品項目,無涉國防採購。
為強化密碼安全性,財政資訊中心表示,除了強制要求企業不得使用預設密碼,需自行更新密碼外,更新密碼也要有一定的複雜度,包括密碼長度必須 8 到 12 碼,密碼設定內容必須符合英文大小寫、數字、特殊符號等要件。
舉例來說,某企業在設定新密碼時必須在英文大寫、小寫、數字及特殊符號等 4 要件中符合 3 個要件;此外,財政部資訊中心也打算比照銀行,每 90 天就提醒並建議客戶更新密碼,透過密碼複雜度、頻繁更新確保資訊安全。
財政資訊中心指出,整合服務平台已完成改善密碼弱點,請營利事業儘快登入修改預設密碼,並應符合強度密碼規範及妥善保管密碼;另整合服務平台皆有保存帳號登入紀錄,請勿任意測試登入其他公司行號帳號導致該帳號停權,而有觸犯「無故入侵他人電腦」罪之風險。