評鑑台灣百貨業者資安防護力,網站、電郵安全性最弱

作者 | 發布日期 2022 年 05 月 03 日 12:38 | 分類 科技生活 , 資訊安全 Telegram share ! follow us in feedly


提到「資訊安全」多數人可能會先想審視一般企業、學校,甚至是公家單位的資安力,但其實與人們民生息息相關的百貨公司,其資訊安全能力也是需要審視的一環。資安檢測品牌 Cymetrics 今日就發表了台灣百貨業資安曝險調查報告,針對台灣 10 家知名百貨業者的外在資安曝險情形進行評級與分析。

Cymetrics 指出,近來大型百貨業者因應數位轉型的浪潮,以及疫情所帶來的消費者行為變化,陸續推出自有的電子支付工具以及電商平台,隨之帶來更多的數位足跡曝露在網路上,因此 Cymetrics 利用其曝險評估即服務,評級並分析台灣前 10 大百貨業者的外在資安曝險情形,以協助業者了解自身的資安狀況,改善其可能存在之外在曝險,其中半數業者疏於管理電子郵件安全,四成業者甚至發生帳號密碼外洩事件,包含微風廣場、新光三越、誠品及遠東百貨。

為何百貨業者的資安如此重要?根據經濟部統計處的公開數據,綜合零售業於網路銷售的金額,從疫情前至 2021 年底為止已經實現了超過一倍以上的增長,同時五月份的母親節尤為百貨業者每年的重要檔期,各項的行銷活動大量曝光,隨之而來的網路瀏覽更帶來頻繁交易,同時近期破千確診者已成為新常態,多項因素加乘下,百貨業者將更加倚重網路銷售,以及非接觸的電子支付等數位工具。

因此百貨業者擁有的客戶資料規模、金流及商譽價值,必然是攻擊者普遍關注且認為有利可圖的目標,而業者在試圖建立企業防禦架構前,建議先盤點自身企業必須要防禦的範圍,進而標定可能被視為相對弱點而蒙受攻擊的部分。

(Source:Cymetrics 提供)

Cymetrics 分別以網路服務、網站、電子郵件、帳號密碼,以及雲端安全五個部分來評估百貨業者的資安防護力。

網路服務

95% 以上的台灣百貨業者皆有控管對外服務,資安評級平均落在 A 以上的等級,即從外部的角度蒐集不到資料,很難針對業者的對外服務進行資料蒐集及攻擊嘗試。

網站 

關於這一點,台灣百貨業者資安評級平均落在 B~ C- ,也就是有外部曝險面上的弱點,可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,將可能導致攻擊者已知舊版本弱點的攻擊腳本,或是透過簡易的跨站攻擊繞過網站的安全性驗證甚至取得客戶資料。

電子郵件 

在此一方面台灣百貨業者之間的落差較大,資安評級分別落在 A~C-,有半數的業者並未妥善管理電子郵件的安全,其中多數未進行 DMARC 與 SPF 的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民眾與員工,他們因而可能遭受社交工程,導致資料外洩的情形發生。

帳號密碼 

台灣百貨業者資安評級較為兩極,主要集中於 A+ 及 C,其中有四家業者已發生帳號密碼外洩,包含員工個人的帳號以及系統,或是對外服務所使用的公用帳號,同時曾發生帳號密碼外洩的業者中,都出現外洩多組的帳號密碼,將讓攻擊者可以精準鎖定目標,執行釣魚或直接滲透各項系統。

雲端安全 

台灣百貨業者評級分數皆為 A+ 以上。此次的調查中並未發現百貨業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而  Cymetrics 預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,業者仍須時刻關心,在透過公有雲業者協助快速擴增新服務的同時,是否安全地使用相關資源。

(首圖來源:pixabay