白帽駭客?
& 政治獻金研究方式
Ronny Wang
最近因為公司有電子發票需求
因此去申請了電子發票票匭
5/9 晚上收到一封信...
1qaz2wsx 這密碼好眼熟啊?
我試了幾個我知道自己開公司
有開電子發票的朋友
用同一組密碼登入,竟然登進去了?
跟朋友說了之後,問他才知道這帳號在他公司已經存在四年
Google 搜尋「電子發票 1qaz2wsx」,發現很多電子發票加值平台教學內也寫了這組密碼?
電子發票平台是幹嘛的?
這問題好像滿大條的?來找一下部長..
部長晚上回應請我通報 TWCERT 並 cc 她
晚上11點我寄信通報 TWCERT
隔天早上 9 點 TWCERT 就回信了
隔天開始手癢開始大量手動試著登入不同統編
越試越覺得這個漏洞很可怕...
試出太多公司沒改密碼了
包含:台灣大車隊、趨勢科技、痞客邦、中經院、pinkoi… 甚至中科院?
一天沒回音
我再寄了一封信給 TWCERT 強調嚴重性跟我的建議
既然有台灣大車隊,我就來找 TonyQ 吧
這組密碼在 TonyQ 還在大車隊時代就在用了�TonyQ 還記得 XD
我也找了 OCF pofeng 和 READr hc
想說多點人幫忙追這題以防政府擺爛
當天晚上財政部寄出了通知信
但是寄這種信效果應該很差吧...
(收信的可能都是財會部門,
比較不會有資安意識)
怕政府動作還是太慢
我們決定先找可信任的記者
讓他們可以先準備好報導
可以當作逼迫政府加速處理的籌碼
5/12 收到財政部通知的因應作為
5/12(五) PM11 發現登入要強制變更密碼了...
洞算補上一半了
我們請記者給大家多點時間,等週二再刊出來
5/16(二)00:00 民報報導
5/16(二)07:00 READr 報導
5/16(二)上午8:30 財政部再更改網站加上稅籍編號驗證
洞算是完全補上了
5/16 財政部也發新聞稿公告已修正問題
中科院看起來重要軍事採購都沒有用電子發票
而是用傳統紙本發票
因此沒有什麼資料外洩
(以後重要的案子好像還是用紙本發票比較好 XD)
時間軸
6/13 還放了大招
後續有什麼政治效應呢?
5/22 財政部在立法院內送出檢討報告
5/22 在交通委員會內,唐鳳部長跟財政部資訊中心被十幾名立委質詢一天
檢討報告的一些數字
我們學到什麼?
Part2. 開放政治獻金2023資料研究方法
這次做了兩個政治獻金的分析結果
遠東集團在 2022 年政治獻金歸零...
捐款行業的變化
這些分析幾乎都沒寫到程式
今天來分享怎麼分析吧!
成果
第一步,從政治獻金申報平台匯出全部資料
(唯一需要程式的一步)
(但我程式不小心搞丟了 XD 不過重寫很快)
(需要的人可以下載,我已經完整資料都放那了)
收入:39萬筆 70MB
支出:70萬筆 133MB
第二步,用 duckdb 篩選出有統編的營利事業資料
透過 duckdb ,一行就可以篩選出營利事業捐贈收入
399767筆全部收入資料 => 22545筆「營利事業捐贈收入」資料
第三步,匯入進 Google 試算表中
記得取消勾選「將文字轉換成數字、日期和公式」 成果在這裡
匯入完記得把「收入金額」轉成數字格式
第四步 利用「大量行業別查詢」工具,查詢公司行業別
第五步 利用樞鈕分析依捐款數量排序行業別
第六步 把行業別丟給 ChatGPT 幫我歸類
第六步 持續給 ChatGPT 分類...
第七步 用 VLOOKUP 把產業別合併入資料中
零時小學校 VLOOKUP 課程 https://www.youtube.com/watch?v=FtBnm0qN9s8
第八步 整理各種選舉的「年份」「種類」資訊
並用 VLOOKUP 整合進來
第九步 用樞扭分析算出不同選舉的產業變化吧!
第十步 整合 kiang 整理的集團資料
集團資料完工!
歡迎大家到 #open-moneyflow 來討論
我們來對政治獻金做各種不同的分析吧!