是方合作夥伴 Cymetrics 於2021年12月2日 首度公布臺灣十大電商資安曝險調查報告。疫情以來迫使消費者改變購物習慣,也加速零售產業之數位轉型;然而,使用新技術的同時,企業也同樣要承擔數位轉型所帶來的資安風險,因此利用 Cymetrics EAS 曝險評估服務 ( Exposure Assessment as a Service,EAS )來評級並分析臺灣前 10 大零售電商業者的外在資安曝險情形,以協助臺灣中小型零售電商業者借鏡,改善其可能存在之外在曝險。
【零售業是駭客重點攻擊高風險產業,資安防護卻不足】
零售業一直以來都是駭客重點攻擊的產業之一,因其零售交易當中所搜集及處理之個人資料,舉凡姓名、地址、電話、交易細節等,皆為高風險且高價值之個人資訊。零售業之網路銷售金額逐年增長,於疫情期間甚至逐季翻倍成長,據經濟部統計2022年已達到了新台幣4,930億元,佔整體零售業的11.5%;然而,在零售產業數位化的過程中,多數業者在資訊安全防護上仍普遍不足; 根據統計,駭客攻擊平均每 39 秒發生一次,尤其 43% 駭客攻擊更是針對中小型企業。同時,駭客攻擊成本逐漸降低,美金 400 元即可進行網站滲透,導致近兩年的資安事件亦呈現倍數成長。
專注於資安檢測的 Cymetrics 台灣在地團隊,透過自身研發的非侵入式曝險評估及服務(EAS),針對臺灣前 10 大零售電商業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向。調查結果顯示,普遍網站表現不佳,推測其大多採用網站套件或網路伺服器預設值,使其安全性設置不完善;而電子郵件安全配置鬆散,其中某家知名連鎖超商業者,甚至未針對其主要網域設置認證機制,有極高機率使得駭客可藉由釣魚信件,有機可乘。
Cymetrics點出報告當中的四項重大發現:
- 90%的電商業者,網站安全性設置不夠完善,由於網站安全設定為公開可輕易獲取之資訊,過多之網站曝險亦代表內部資訊安全管控不嚴謹,非常容易使自身成為駭客的首要標的。
- 80%的電商業者,其電子郵件安全配置鬆散,使得內部員工易將釣魚信件視為正常內容,點擊後即上當受騙。
- 50%的電商業者,員工內部帳號及相關資訊已外洩,容易遭憑證填充攻擊,駭客只要登入,即可進一步進行橫移及滲透。
- 其中一家電商域名管理不嚴謹,可遭域名劫持攻擊;由於某子網域服務已不存在,但 DNS 紀錄疏於管理未移除,易使駭客註冊該服務並架設類似之服務混淆用戶,用戶將極容易被騙取帳號、密碼及卡號。