Cymetrics发布十大百货业者网安曝险调查 电子邮件安全及帐密外泄尚需改善
- 侯冠宇/台北
-
专业网安检测品牌Cymetrics发布台湾百货业网安曝险调查报告,针对10 家知名百货业者的外在网安曝险情形进行评级与分析。近来大型百货业者因应数码转型的浪潮,以及疫情所带来的消费者行为变化,陆续推出自有的电子支付工具以及电商平台,随之带来更多的数码足迹曝露在网络上,因此Cymetrics利用其曝险评估即服务 (Exposure Assessment as a Service;EAS),评级并分析台湾前 10 大百货业者的外在网安曝险情形,以协助业者了解自身的网安状况,改善其可能存在之外在曝险,其中半数业者疏于管理电子邮件安全,四成业者甚至发生帐号口令外泄事件,包含微风广场、新光三越、诚品及远东百货。
根据经济部统计处的公开数据,综合零售业于网络销售的金额,从疫情前至2021年底为止已经实现了超过一倍以上的增长,同时五月的母亲节尤为百货业者每年的重要档期,各项的行销活动大量曝光,随之而来的网络浏览更带来频繁交易,同时近期破千确诊者已成为新常态,多项因素加乘下,百货业者将更加倚重网络销售,以及非接触的电子支付等数码工具。因此,百货业者拥有的客户数据规模、金流及商誉价值,必然是攻击者普遍关注且认为有利可图的目标,而业者在试图建立企业防御架构前,建议先盘点自身企业必须要防御的范围,进而标定可能被视为相对弱点而蒙受攻击的部分。
专注于网安检测的Cymetrics团队,透过自身研发的非侵入式曝险评估及服务(EAS),针对台湾前 10 大百货业者网域做检测,包括网络服务、网站、电子邮件、帐号口令与云端安全面向,并加入最新的Log4j以及DNS takeover等相关测试项目。
其重点结果包含:
网络服务:95%以上的台湾百货业者皆有控管对外服务,网安评级平均落在 A 以上的等级,即从外部的角度蒐集不到数据,很难针对业者的对外服务进行数据蒐集及攻击尝试。
网站:台湾百货业者网安评级平均落在 B~ C- ,也就是有外部曝险面上的弱点,可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定,或未更新至安全的版本等常见的弱点,将可能导致攻击者已知旧版本弱点的攻击脚本,或是透过简易的跨站攻击绕过网站的安全性验证甚至取得客户数据。
电子邮件:台湾百货业者之间的落差较大,网安评级分别落在 A~C-,有半数的业者并未妥善管理电子邮件的安全,其中多数未进行DMARC与SPF的正确设定,将可能导致攻击者透过业者的相同邮件网域,发送恶意邮件给民众与员工,他们因而可能遭受社交工程,导致数据外泄的情形发生。
帐号口令:台湾百货业者网安评级较为两极,主要集中于 A+ 及 C,其中有四家业者已发生帐号口令外泄,包含员工个人的帐号以及系统,或是对外服务所使用的公用帐号,同时曾发生帐号口令外泄的业者中,都出现外泄多组的帐号口令,将让攻击者可以精准锁定目标,执行钓鱼或直接渗透各项系统。
云端安全:台湾百货业者评级分数皆为 A+ 以上。本调查并未发现百货业者在其网域名称下有任何对外公开之云端储存体或公共程序库,然而 Cymetrics预期在数码转型驱动下,有越来越多企业会逐步采纳公有云服务,业者仍须时刻关心,在透过公有云业者协助快速增新服务的同时,是否安全地使用相关资源。
