是方合作伙伴Cymetrics发布台湾百货业资安曝险调查报告,针对10 家知名百货业者的外在资安曝险情形进行评级与分析。近来大型百货业者因应数字转型的浪潮,以及疫情所带来的消费者行为变化,陆续推出自有的电子支付工具以及电商平台,随之带来更多的数字足迹曝露在网络上,因此利用 Cymetrics EAS 曝险评估服务 (Exposure Assessment as a Service)来评级并分析台湾前 10 大百货业者的外在资安曝险情形,以协助业者了解自身的资安状况,改善其可能存在之外在曝险,其中半数业者疏于管理电子邮件安全,四成业者甚至发生账号密码外泄事件,包含微风广场、新光三越、诚品及远东百货。
根据经济部统计处的公开数据,综合零售业于网络销售的金额,从疫情开始逐年增长,2022年已达到了新台币4,930亿元,占整体零售业的11.5%,网络销售已成为重要交易管道,随着各种网络营销活动大量曝光,网络浏览更带来频繁交易。因此,百货业者拥有的客户数据规模、金流及商誉价值,必然是攻击者普遍关注且认为有利可图的目标,而业者在试图建立企业防御架构前,建议先盘点自身企业必须要防御的范围,进而标定可能被视为相对弱点而蒙受攻击的部分。
专注于资安检测的Cymetrics团队,透过自身研发的非侵入式曝险评估及服务(EAS),针对台湾前 10 大百货业者网域做检测,包括网络服务、网站、电子邮件、账号密码与云端安全面向,并加入最新的Log4j以及DNS takeover等相关测试项目。
其重点结果包含:
(1) 网络服务:95% 以上的台湾百货业者皆有控管对外服务,资安评级平均落在 A 以上的等级,即从外部的角度搜集不到资料,很难针对业者的对外服务进行资料搜集及攻击尝试。
(2) 网站:台湾百货业者资安评级平均落在 B~ C- ,也就是有外部曝险面上的弱点,可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定,或未更新至安全的版本等常见的弱点,将可能导致攻击者已知旧版本弱点的攻击脚本,或是透过简易的跨站攻击绕过网站的安全性验证甚至取得客户资料。
(3) 电子邮件:台湾百货业者之间的落差较大,资安评级分别落在 A~C-,有半数的业者并未妥善管理电子邮件的安全,其中多数未进行DMARC与SPF的正确设定,将可能导致攻击者透过业者的相同邮件网域,发送恶意邮件给民众与员工,他们因而可能遭受社交工程,导致数据外泄的情形发生。
(4) 账号密码:台湾百货业者资安评级较为两极,主要集中于 A+ 及 C,其中有四家业者已发生账号密码外泄,包含员工个人的账号以及系统,或是对外服务所使用的公用账号,同时曾发生账号密码外泄的业者中,都出现外泄多组的账号密码,将让攻击者可以精准锁定目标,执行钓鱼或直接渗透各项系统。
(5) 云端安全:台湾百货业者评级分数皆为 A+ 以上。本调查并未发现百货业者在其网域名称下有任何对外公开之云端存储器或公共链接库,然而 Cymetrics预期在数字转型驱动下,有越来越多企业会逐步采纳公有云服务,业者仍须时刻关心,在透过公有云业者协助快速扩增新服务的同时,是否安全地使用相关资源。