是方合作伙伴 Cymetrics 于2021年12月2日 首度公布台湾十大电商资安曝险调查报告。疫情以来迫使消费者改变购物习惯,也加速零售产业之数字转型;然而,使用新技术的同时,企业也同样要承担数字转型所带来的资安风险,因此利用 Cymetrics EAS 曝险评估服务 ( Exposure Assessment as a Service,EAS )来评级并分析台湾前 10 大零售电商业者的外在资安曝险情形,以协助台湾中小型零售电商业者借镜,改善其可能存在之外在曝险。
【零售业是黑客重点攻击高风险产业,资安防护却不足】
零售业一直以来都是黑客重点攻击的产业之一,因其零售交易当中所搜集及处理之个人资料,举凡姓名、地址、电话、交易细节等,皆为高风险且高价值之个人信息。零售业之网络销售金额逐年增长,于疫情期间甚至逐季翻倍成长,据经济部统计2022年已达到了新台币4,930亿元,占整体零售业的11.5%;然而,在零售产业数字化的过程中,多数业者在信息安全防护上仍普遍不足; 根据统计,黑客攻击平均每 39 秒发生一次,尤其 43% 黑客攻击更是针对中小型企业。同时,黑客攻击成本逐渐降低,美金 400 元即可进行网站渗透,导致近两年的资安事件亦呈现倍数成长。
专注于资安检测的 Cymetrics 台湾在地团队,透过自身研发的非侵入式曝险评估及服务(EAS),针对台湾前 10 大零售电商业者网域做检测,包括网络服务、网站、电子邮件、账号密码与云端安全面向。调查结果显示,普遍网站表现不佳,推测其大多采用网站套件或网络服务器默认值,使其安全性设置不完善;而电子邮件安全配置松散,其中某家知名连锁超商业者,甚至未针对其主域设置认证机制,有极高机率使得黑客可藉由钓鱼信件,有机可乘。
Cymetrics点出报告当中的四项重大发现:
- 90%的电商业者,网站安全性设置不够完善,由于网站安全设定为公开可轻易获取之信息,过多之网站曝险亦代表内部信息安全管控不严谨,非常容易使自身成为黑客的首要目标。
- 80%的电商业者,其电子邮件安全配置松散,使得内部员工易将钓鱼信件视为正常内容,点击后即上当受骗。
- 50%的电商业者,员工内部账号及相关信息已外泄,容易遭凭证填充攻击,黑客只要登入,即可进一步进行横移及渗透。
- 其中一家电商域名管理不严谨,可遭域名劫持攻击;由于某子域服务已不存在,但 DNS 纪录疏于管理未移除,易使黑客注册该服务并架设类似之服务混淆用户,用户将极容易被骗取账号、密码及卡号。