臺(tái)北2023年8月15日 /美通社/ -- 專(zhuān)業(yè)資安檢測(cè)品牌Cymetrics發(fā)布臺(tái)灣飯店業(yè)資安曝險(xiǎn)調(diào)查報(bào)告，露成針對(duì)臺(tái)灣國(guó)內(nèi)15間知名五星級(jí)飯店業(yè)者的臺(tái)灣外在資安曝險(xiǎn)情形，進(jìn)行評(píng)級(jí)與分析。星飯疫後觀光產(chǎn)業(yè)快速?gòu)?fù)甦，店電促使飯店業(yè)者應(yīng)而開(kāi)始數(shù)位轉(zhuǎn)型，郵設(shè)易遭整合更多AI科技解決方案，置不詐騙來(lái)節(jié)省現(xiàn)有人員勞動(dòng)力。全消隨著暑期來(lái)臨，威脅大眾開(kāi)始報(bào)復(fù)性旅遊，露成面對(duì)大量的臺(tái)灣消費(fèi)者個(gè)資與金流資訊，飯店旅宿成為潛在攻擊的星飯入口，尤其在繁複的店電上下游資訊鏈整合、APP應(yīng)用中，郵設(shè)易遭供應(yīng)鏈安全及攻擊面管理(Attack Surface Management，置不詐騙ASM)的全消議題更顯重要。因此Cymetrics利用其曝險(xiǎn)評(píng)估即服務(wù) (Exposure Assessment as a Service，EAS)，評(píng)級(jí)並分析臺(tái)灣國(guó)內(nèi)15間知名五星級(jí)飯店的外在資安曝險(xiǎn)情形，以協(xié)助業(yè)者了解自身的資安狀況，改善其可能存在之外在曝險(xiǎn)，其中高達(dá)7成業(yè)者並未妥善管理電子郵件的安全，相關(guān)設(shè)置不完全，將導(dǎo)致業(yè)者及消費(fèi)者遭受社交工程威脅，亟需業(yè)者加強(qiáng)資安控管，使消費(fèi)者能安心選擇。

專(zhuān)注於資安檢測(cè)的Cymetrics團(tuán)隊(duì)，透過(guò)自身研發(fā)的非侵入式曝險(xiǎn)評(píng)估及服務(wù)(EAS)，針對(duì)臺(tái)灣前15大知名五星級(jí)飯店業(yè)者網(wǎng)域做檢測(cè)，包括網(wǎng)路服務(wù)、網(wǎng)站、電子郵件、帳號(hào)密碼與雲(yún)端安全面向，此次報(bào)告於發(fā)布前皆提供所提及的15家飯店業(yè)者參看，其中有業(yè)者積極回應(yīng)，如煙波國(guó)際觀光集團(tuán)，並迅速執(zhí)行內(nèi)部盤(pán)點(diǎn)，以確認(rèn)帳密部分並未造成影響，因此總評(píng)級(jí)大幅提升。

其重點(diǎn)結(jié)果包含：

網(wǎng)路服務(wù)：在網(wǎng)路服務(wù)中，我們發(fā)現(xiàn)飯店業(yè)者中普遍評(píng)級(jí)分?jǐn)?shù)落在A+ ~ B+，代表業(yè)者在網(wǎng)路服務(wù)管理上面有些落差，5成業(yè)者將網(wǎng)域名稱(chēng)下的對(duì)外公開(kāi)網(wǎng)路服務(wù)管理妥善，並僅開(kāi)放必要之服務(wù)，但仍有3成業(yè)者的 FTP被偵測(cè)到為公開(kāi)的服務(wù)，將讓攻擊者有機(jī)會(huì)藉由 FTP 竊取資料和上傳惡意檔案。

網(wǎng)站：臺(tái)灣飯店業(yè)者資安評(píng)級(jí)平均落在 A~ C-，也就是有外部曝險(xiǎn)面上的弱點(diǎn)，可能因此成為攻擊者攻擊鏈的一環(huán)。多數(shù)業(yè)者的問(wèn)題來(lái)自網(wǎng)站相關(guān)套件與應(yīng)用的錯(cuò)誤設(shè)定，或未更新至安全的版本等常見(jiàn)的弱點(diǎn)，將可能導(dǎo)致攻擊者已知舊版本弱點(diǎn)的攻擊腳本，或是透過(guò)簡(jiǎn)易的跨站攻擊繞過(guò)網(wǎng)站的安全性驗(yàn)證甚至取得客戶(hù)資料。

電子郵件：臺(tái)灣飯店業(yè)者之間的落差較大，資安評(píng)級(jí)分別落在 A+~C，有7成的業(yè)者並未妥善管理電子郵件的安全，其中多數(shù)未進(jìn)行DMARC與SPF的正確設(shè)定，將可能導(dǎo)致攻擊者透過(guò)業(yè)者的相同郵件網(wǎng)域，發(fā)送惡意郵件給民眾與員工，他們因而可能遭受社交工程，導(dǎo)致資料外洩的情形發(fā)生。

帳號(hào)密碼：臺(tái)灣飯店業(yè)者資安評(píng)級(jí)較為兩極，主要集中於 A+ 及 C，其中8成業(yè)者已發(fā)生帳號(hào)密碼外洩，包含員工個(gè)人的帳號(hào)以及系統(tǒng)，或是對(duì)外服務(wù)所使用的公用帳號(hào)，同時(shí)曾發(fā)生帳號(hào)密碼外洩的業(yè)者中，都出現(xiàn)外洩多組的帳號(hào)密碼，將讓攻擊者可以精準(zhǔn)鎖定目標(biāo)，執(zhí)行釣魚(yú)或直接滲透各項(xiàng)系統(tǒng)。

雲(yún)端安全：臺(tái)灣飯店業(yè)者評(píng)級(jí)分?jǐn)?shù)皆為 A+ 以上，代表飯店業(yè)者皆透過(guò)公有雲(yún)的服務(wù)來(lái)建構(gòu)自己的線上服務(wù)體系，因此妥善且安全的運(yùn)用雲(yún)端資源是必要的投入。

完整Cymetrics臺(tái)灣15大知名五星級(jí)飯店業(yè)者資安曝險(xiǎn)調(diào)查報(bào)告，請(qǐng)至Cymetrics官網(wǎng)下載: https://cymetrics.io/zh-tw/latest/report/cymetrics-2023-taiwan-top15-5-star-hotel-exposure-assessment-report。

本文章內(nèi)容由「美通社」提供