7成台湾五星饭店电邮设置不全 消费者易遭诈骗威胁
是方合作伙伴-专业资安检测品牌 Cymetrics 发布台湾饭店业资安曝险调查报告,针对台湾国内15间知名五星级饭店业者的外在资安曝险情形,进行评级与分析。疫后观光产业快速复苏,促使饭店业者应而开始数字转型,整合更多AI科技解决方案,来节省现有人员劳动力。随着暑期来临,大众开始报复性旅游,面对大量的消费者个资与金流信息,饭店旅宿成为潜在攻击的入口,尤其在繁复的上下游信息链整合、APP应用中,供应链安全及攻击面管理(Attack Surface Management,ASM)的议题更显重要。
因此 Cymetrics 利用其曝险评估即服务 ( Exposure Assessment as a Service,EAS ),评级并分析台湾国内15间知名五星级饭店的外在资安曝险情形,以协助业者了解自身的资安状况,改善其可能存在之外在曝险,其中高达7成业者并未妥善管理电子邮件的安全,相关设置不完全,将导致业者及消费者遭受社交工程威胁,亟需业者加强资安控管,使消费者能安心选择。
Cymetrics 透过自身研发的非侵入式曝险评估及服务(EAS),针对台湾前15大知名五星级饭店业者网域做检测,包括网络服务、网站、电子邮件、账号密码与云端安全面向,此次报告于发布前皆提供所提及的15家饭店业者参看,其中有业者积极响应,如烟波国际观光集团,并迅速执行内部盘点,以确认账密部分并未造成影响,因此总评级大幅提升。
其重点结果包含:
- 网络服务:在网络服务中,我们发现饭店业者中普遍评级分数落在A+ ~ B+,代表业者在网络服务管理上面有些落差,5成业者将域名下的对外公开网络服务管理妥善,并仅开放必要之服务,但仍有3成业者的 FTP被侦测到为公开的服务,将让攻击者有机会藉由 FTP 窃取数据和上传恶意档案。
- 网站:台湾饭店业者资安评级平均落在 A~ C-,也就是有外部曝险面上的弱点,可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定,或未更新至安全的版本等常见的弱点,将可能导致攻击者已知旧版本弱点的攻击脚本,或是透过简易的跨站攻击绕过网站的安全性验证甚至取得客户资料。
- 电子邮件:台湾饭店业者之间的落差较大,资安评级分别落在 A+~C,有7成的业者并未妥善管理电子邮件的安全,其中多数未进行 DMARC 与 SPF 的正确设定,将可能导致攻击者透过业者的相同邮件网域,发送恶意邮件给民众与员工,他们因而可能遭受社交工程,导致数据外泄的情形发生。
- 账号密码:台湾饭店业者资安评级较为两极,主要集中于 A+ 及 C,其中8成业者已发生账号密码外泄,包含员工个人的账号以及系统,或是对外服务所使用的公用账号,同时曾发生账号密码外泄的业者中,都出现外泄多组的账号密码,将让攻击者可以精准锁定目标,执行钓鱼或直接渗透各项系统。
- 云端安全:台湾饭店业者评级分数皆为 A+ 以上,代表饭店业者皆透过公有云的服务来建构自己的在线服务体系,因此妥善且安全的运用云端资源是必要的投入。
