Cymetrics揭露7成台湾五星饭店电邮设置不全 消费者易遭诈骗威胁

专业网安检测品牌Cymetrics发布台湾饭店业网安曝险调查报告，针对台湾国内15间知名五星级饭店业者的外在网安曝险情形，进行评级与分析。疫后观光产业快速复苏，促使饭店业者应而开始数码转型，整合更多AI科技解决方案，来节省现有人员劳动力。随着暑期来临，大众开始报复性旅游，面对大量的消费者个资与金流信息，饭店旅宿成为潜在攻击的入口，尤其在繁复的上下游信息链整合、APP应用中，供应链安全及攻击面管理(Attack Surface Management，ASM)的议题更显重要。因此Cymetrics利用其曝险评估即服务 (Exposure Assessment as a Service，EAS)，评级并分析台湾国内15间知名五星级饭店的外在网安曝险情形，以协助业者了解自身的网安状况，改善其可能存在之外在曝险，其中高达7成业者并未妥善管理电子邮件的安全，相关设置不完全，将导致业者及消费者遭受社交工程威胁，亟需业者加强网安控管，使消费者能安心选择。

专注于网安检测的Cymetrics团队，透过自身研发的非侵入式曝险评估及服务(EAS)，针对台湾前15大知名五星级饭店业者网域做检测，包括网络服务、网站、电子邮件、帐号口令与云端安全面向，此次报告于发布前皆提供所提及的15家饭店业者参看，其中有业者积极回应，如烟波国际观光集团，并迅速执行内部盘点，以确认帐密部分并未造成影响，因此总评级大幅提升。

其重点结果包含：

网络服务：在网络服务中，我们发现饭店业者中普遍评级分数落在A+ ~ B+，代表业者在网络服务管理上面有些落差，5成业者将网域名称下的对外公开网络服务管理妥善，并仅开放必要之服务，但仍有3成业者的 FTP被侦测到为公开的服务，将让攻击者有机会藉由 FTP 窃取数据和上传恶意档案。

网站：台湾饭店业者网安评级平均落在 A~ C-，也就是有外部曝险面上的弱点，可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定，或未更新至安全的版本等常见的弱点，将可能导致攻击者已知旧版本弱点的攻击脚本，或是透过简易的跨站攻击绕过网站的安全性验证甚至取得客户数据。

电子邮件：台湾饭店业者之间的落差较大，网安评级分别落在 A+~C，有7成的业者并未妥善管理电子邮件的安全，其中多数未进行DMARC与SPF的正确设定，将可能导致攻击者透过业者的相同邮件网域，发送恶意邮件给民众与员工，他们因而可能遭受社交工程，导致数据外泄的情形发生。

帐号口令：台湾饭店业者网安评级较为两极，主要集中于 A+ 及 C，其中8成业者已发生帐号口令外泄，包含员工个人的帐号以及系统，或是对外服务所使用的公用帐号，同时曾发生帐号口令外泄的业者中，都出现外泄多组的帐号口令，将让攻击者可以精准锁定目标，执行钓鱼或直接渗透各项系统。

云端安全：台湾饭店业者评级分数皆为 A+ 以上，代表饭店业者皆透过公有云的服务来建构自己的在线服务体系，因此妥善且安全的运用云端资源是必要的投入。

完整Cymetrics台湾15大知名五星级饭店业者网安曝险调查报告，请至Cymetrics官网下载: https://cymetrics.io/zh-tw/latest/report/cymetrics-2023-taiwan-top15-5-star-hotel-exposure-assessment-report或来信至ask@cymetrics.io。

【关于Cymetrics】

Cymetrics 系由一群金融业网安风险管理及系统渗透测试的专家所组成。Cymetrics 团队协助集团子公司 OneDegree Hong Kong Limited 于 2020 年通过香港保险监管局的信息安全审查取得虚拟纯网络保险牌照，亦协助 OneDegree Global隔年取得 ISO 27001信息安全管理系统及ISO 27017云端安全管理系统之验证，强化集团信息安全之治理。

2023年6月与微软宣布策略合作计划，整合 Azure OpenAI 推出 Cymetrics Copilot，提供专为企业而生的创新生成式 AI 解决方案，利用 AI 提供定制化补救建议、可行优先顺序和实时回覆，网安问题解决时间最多可缩短至 50%，企业便能主动有效地迎战网安威胁，强化韧性并确保业务持续营运。

Cymetrics 相关信息，请参考: https://cymetrics.io/zh-tw/