據科技媒體報導，這起震驚全球的資安事件，原本只是兩位研究人員出於好奇想測試知名速食業者使用的AI招募機器人，沒想到僅花了短短30分鐘，便取得了招募平台的後台權限，得以存取歷年來高達6,400萬筆的應徵紀錄。

過程中，發現網站上有一個供員工使用的後台登入連結。出於測試心態，他們試著輸入最常見的帳密組合：「admin / 123456」竟然直接登入成功，系統甚至未啟用多因子驗證（MFA），就讓他們獲得後台管理者權限。

事件曝光後，招募平台廠商隨即發聲明表示，這個帳號原本只是用來測試的，從 2019 年後就沒再用過，但一直沒有關閉，結果變成了資安漏洞的破口並強調該帳號僅由兩位研究人員登入，並未被其他未授權人士利用。同時宣布將啟動漏洞獎勵計畫（Bug Bounty Program），以強化平台防護機制。並向媒體表示：「我們不會輕忽這件事，雖然已迅速修補，我們也願意承擔責任。」

公司透過以下密碼管控原則，以降低資安風險。

●    每位同仁設置唯一的帳號ID，並在初次使用後強制變更預設密碼。

●    90天需修改密碼。

●    長度不得低於8個字元。

●    必須符合複雜性原則，至少需由英文單字與數字組成。

●    至少不得與前3代之密碼重複。

●    連續輸入錯誤達5次，將強制鎖定帳號。

●    避免使用共用帳號和共用密碼。

---

參考資料：

https://blog.billows.com.tw/?p=3803

S303_辦公室資訊作業程序書