電子發票平台爆資安漏洞！ 唐鳳：持續在公部門進行主動式「韌性巡檢」

財政部轄下的「電子發票整合服務平台」最近爆出資安漏洞，有部分帳號在13年來，都使用相同的預設密碼登入！此項資安漏洞一開始是由民間的白帽駭客主動發現並連絡TWCERT/CC進行通報。立法院交通委員會針對此資安議題，今（5/22）邀集數位部、財政部官員報告並備詢。數位發展部部長唐鳳表示，未來將於公部門持續進行主動式「韌性巡檢」，以防範此類事件發生。

唐鳳指出，此次事件是民間的白帽駭客守望相助主動發現連絡數位部，並連繫TWCERT/CC（台灣電腦網路危機處理暨協調中心），再轉給數位部資安署處理，督促電子發票平台進行相關改善。

唐鳳表示，目前已改善狀況包括預設密碼應隨機產生，若有民眾要使用相同密碼，也應強制更改。財政資訊中心已於5/11、5/16完成相關變更，資安署也進行隨機抽測。唐鳳強調，此僅為一例，希望所有部會和縣市政府機關，都能做網站資安盤點，以避免類似情形發生。

財政資訊中心主任張文熙也表示，5/10接獲民眾反映平台預設為弱密碼後，中心立即改善，要求營利事業單位進行密碼變更。5/11即改為英文+數字12碼密碼長度，並增加顯示登入紀錄等因應措施。

時代力量立委陳椒華質詢時指出，數位部是否有針對相關部會的資安進行事前稽核？還是只在重大資安事件發生後才去進行相關處理？

對此，唐鳳表示相關稽核都有做，但沒有稽核到預設密碼的樣態。數位部在今年、明年會全面推行「零信任」架構，讓大家不要只用密碼來做認證。其次，數位部的工作也不僅為事後的應變處置，目前已在公部門進行主動「韌性巡檢」，也就是在事前建立技術層面的共通元件，這與建築物需使用防火建材的概念相當，是透過巡檢方式預先探查，將於3個月內搜集統整出基本樣態，並於今年底和明年大規模施行。若民間單位需要，也可提供此共通元件，協助民間業者提升資安防護。

目前資安事件通報發生時的釐清確由TWCERT/CC負責，之後的行政訪查則由資安院負責。唐鳳表示，TWCERT/CC目前隸屬於TWNIC管轄，數位部將在明年進行規劃，有可能將其整併到資安院中。