Cymetrics首度公布臺灣十大電商資安曝險調查報告

Cymetrics 於2021年12月2日首度公布台灣十大電商資安曝險調查報告。疫情以來迫使消費者改變購物習慣，也加速了零售產業之數位轉型；然而，使用新技術的同時，企業也同樣要承擔數位轉型所帶來的資安風險，因此Cymetrics利用其曝險評估即服務(Exposure Assessment as a Service；EAS)，評級並分析台灣前10大零售電商業者的外在資安曝險情形，以協助台灣中小型零售電商業者借鏡，改善其可能存在之外在曝險。

零售業一直以來都是駭客重點攻擊的產業之一，零售交易當中所搜集及處理之個人資料，舉凡姓名、地址、電話、交易細節等，皆為高風險且高價值之個人資訊。各類型零售業之網路銷售金額，於2021第3季呈現18%～80%之年增率，且部分類型於疫情期間甚至逐季翻倍成長；然而，在零售產業數位化的過程中，多數業者在資訊安全防護上仍普遍不足；根據統計，駭客攻擊平均每39秒發生一次，尤其43%駭客攻擊更是針對中小型企業。同時，駭客攻擊成本逐漸降低，美元400元即可進行網站滲透，導致近兩年的資安事件亦呈現倍數成長。

專注於資安檢測的Cymetrics團隊，透過自身研發的非侵入式曝險評估及服務(EAS)，針對台灣前10大零售電商業者網域做檢測，包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向。

調查結果顯示，普遍網站表現不佳，推測其大多採用網站套件或網路伺服器預設值，使其安全性設置不完善；而電子郵件安全配置鬆散，其中某家知名連鎖超商業者，甚至未針對其主要網域設置認證機制，有極高機率使得駭客可藉由釣魚信件，有機可乘。

Cymetrics產品負責人Stanley亦在微軟於12月2日所主辦之【請支援轉型：遠距策展Ｘ資安，2022技術突圍全布局】線上講座，點出報告當中的四項重大發現。第一項為90%的電商業者，網站安全性設置不夠完善，由於網站安全設定為公開可輕易獲取之資訊，過多之網站曝險亦代表內部資訊安全管控不嚴謹，非常容易使自身成為駭客的首要標的。

第二項則是80%的電商業者，其電子郵件安全配置鬆散，使得內部員工易將釣魚信件視為正常內容，點擊後即上當受騙。第三項為50%的電商業者，員工內部帳號及相關資訊已外洩，容易遭憑證填充攻擊，駭客只要登入，即可進一步進行橫移及滲透。

最後則是，其中1家電商域名管理不嚴謹，可遭域名劫持攻擊；由於某子網域服務已不存在但DNS紀錄疏於管理未移除，易使駭客註冊該服務並架設類似之服務混淆用戶，用戶將極容易被騙取帳號、密碼及卡號。

完整Cymetrics台灣十大電商資安曝險調查報告，請至Cymetrics官網下載。