智慧應用 影音
電子時報行動版服務
榮耀會員

Cymetrics首度公布臺灣十大電商資安曝險調查報告

  • 侯冠宇台北訊

Cymetrics 於2021年12月2日首度公布台灣十大電商資安曝險調查報告。疫情以來迫使消費者改變購物習慣,也加速了零售產業之數位轉型;然而,使用新技術的同時,企業也同樣要承擔數位轉型所帶來的資安風險,因此Cymetrics利用其曝險評估即服務(Exposure Assessment as a Service;EAS),評級並分析台灣前10大零售電商業者的外在資安曝險情形,以協助台灣中小型零售電商業者借鏡,改善其可能存在之外在曝險。

零售業一直以來都是駭客重點攻擊的產業之一,零售交易當中所搜集及處理之個人資料,舉凡姓名、地址、電話、交易細節等,皆為高風險且高價值之個人資訊。各類型零售業之網路銷售金額,於2021第3季呈現18%~80%之年增率,且部分類型於疫情期間甚至逐季翻倍成長;然而,在零售產業數位化的過程中,多數業者在資訊安全防護上仍普遍不足;根據統計,駭客攻擊平均每39秒發生一次,尤其43%駭客攻擊更是針對中小型企業。同時,駭客攻擊成本逐漸降低,美元400元即可進行網站滲透,導致近兩年的資安事件亦呈現倍數成長。

專注於資安檢測的Cymetrics團隊,透過自身研發的非侵入式曝險評估及服務(EAS),針對台灣前10大零售電商業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向。

調查結果顯示,普遍網站表現不佳,推測其大多採用網站套件或網路伺服器預設值,使其安全性設置不完善;而電子郵件安全配置鬆散,其中某家知名連鎖超商業者,甚至未針對其主要網域設置認證機制,有極高機率使得駭客可藉由釣魚信件,有機可乘。

Cymetrics產品負責人Stanley亦在微軟於12月2日所主辦之【請支援轉型:遠距策展X資安,2022技術突圍全布局】線上講座,點出報告當中的四項重大發現。第一項為90%的電商業者,網站安全性設置不夠完善,由於網站安全設定為公開可輕易獲取之資訊,過多之網站曝險亦代表內部資訊安全管控不嚴謹,非常容易使自身成為駭客的首要標的。

第二項則是80%的電商業者,其電子郵件安全配置鬆散,使得內部員工易將釣魚信件視為正常內容,點擊後即上當受騙。第三項為50%的電商業者,員工內部帳號及相關資訊已外洩,容易遭憑證填充攻擊,駭客只要登入,即可進一步進行橫移及滲透。

最後則是,其中1家電商域名管理不嚴謹,可遭域名劫持攻擊;由於某子網域服務已不存在但DNS紀錄疏於管理未移除,易使駭客註冊該服務並架設類似之服務混淆用戶,用戶將極容易被騙取帳號、密碼及卡號。

完整Cymetrics台灣十大電商資安曝險調查報告,請至Cymetrics官網下載