Cymetrics揭露7成臺灣五星飯店電郵設置不全 消費者易遭詐騙威脅

台北2023年8月15日  /美通社/ — 專業資安檢測品牌Cymetrics發布臺灣飯店業資安曝險調查報告,針對臺灣國內15間知名五星級飯店業者的外在資安曝險情形,進行評級與分析。疫後觀光產業快速復甦,促使飯店業者應而開始數位轉型,整合更多AI科技解決方案,來節省現有人員勞動力。隨著暑期來臨,大眾開始報復性旅遊,面對大量的消費者個資與金流資訊,飯店旅宿成為潛在攻擊的入口,尤其在繁複的上下游資訊鏈整合、APP應用中,供應鏈安全及攻擊面管理(Attack Surface Management,ASM)的議題更顯重要。因此Cymetrics利用其曝險評估即服務 (Exposure Assessment as a Service,EAS),評級並分析臺灣國內15間知名五星級飯店的外在資安曝險情形,以協助業者了解自身的資安狀況,改善其可能存在之外在曝險,其中高達7成業者並未妥善管理電子郵件的安全,相關設置不完全,將導致業者及消費者遭受社交工程威脅,亟需業者加強資安控管,使消費者能安心選擇。

專注於資安檢測的Cymetrics團隊,透過自身研發的非侵入式曝險評估及服務(EAS),針對臺灣前15大知名五星級飯店業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向,此次報告於發布前皆提供所提及的15家飯店業者參看,其中有業者積極回應,如煙波國際觀光集團,並迅速執行內部盤點,以確認帳密部分並未造成影響,因此總評級大幅提升。

其重點結果包含:

網路服務:在網路服務中,我們發現飯店業者中普遍評級分數落在A+ ~ B+,代表業者在網路服務管理上面有些落差,5成業者將網域名稱下的對外公開網路服務管理妥善,並僅開放必要之服務,但仍有3成業者的 FTP被偵測到為公開的服務,將讓攻擊者有機會藉由 FTP 竊取資料和上傳惡意檔案。

網站:臺灣飯店業者資安評級平均落在 A~ C-,也就是有外部曝險面上的弱點,可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,將可能導致攻擊者已知舊版本弱點的攻擊腳本,或是透過簡易的跨站攻擊繞過網站的安全性驗證甚至取得客戶資料。

電子郵件:臺灣飯店業者之間的落差較大,資安評級分別落在 A+~C,有7成的業者並未妥善管理電子郵件的安全,其中多數未進行DMARC與SPF的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民眾與員工,他們因而可能遭受社交工程,導致資料外洩的情形發生。

帳號密碼:臺灣飯店業者資安評級較為兩極,主要集中於 A+ 及 C,其中8成業者已發生帳號密碼外洩,包含員工個人的帳號以及系統,或是對外服務所使用的公用帳號,同時曾發生帳號密碼外洩的業者中,都出現外洩多組的帳號密碼,將讓攻擊者可以精準鎖定目標,執行釣魚或直接滲透各項系統。

雲端安全:臺灣飯店業者評級分數皆為 A+ 以上,代表飯店業者皆透過公有雲的服務來建構自己的線上服務體系,因此妥善且安全的運用雲端資源是必要的投入。

飯店業者總評級及細項

完整Cymetrics臺灣15大知名五星級飯店業者資安曝險調查報告,請至Cymetrics官網下載: https://cymetrics.io/zh-tw/latest/report/cymetrics-2023-taiwan-top15-5-star-hotel-exposure-assessment-report或來信至ask@cymetrics.io

【關於Cymetrics

Cymetrics 係由一群金融業資安風險管理及系統滲透測試的專家所組成。Cymetrics 團隊協助集團子公司 OneDegree Hong Kong Limited 於 2020 年通過香港保險監管局的資訊安全審查取得虛擬純網路保險牌照,亦協助 OneDegree Global隔年取得 ISO 27001資訊安全管理系統及ISO 27017雲端安全管理系統之驗證,強化集團資訊安全之治理。

2023年6月與微軟宣布策略合作計劃,整合 Azure OpenAI 推出 Cymetrics Copilot,提供專為企業而生的創新生成式 AI 解決方案,利用 AI 提供客製化補救建議、可行優先順序和即時回覆,資安問題解決時間最多可縮短至 50%,企業便能主動有效地迎戰資安威脅,強化韌性並確保業務持續營運。

Cymetrics 相關資訊,請參考: https://cymetrics.io/zh-tw/