疫情以來迫使消費者改變購物習慣,也加速了零售產業之數位轉型;然而,使用新技術的同時,企業也同樣要承擔數位轉型所帶來的資安風險,因此Cymetrics利用其曝險評估即服務 (Exposure Assessment as a Service,EAS),評級並分析臺灣前 10 大零售電商業者的外在資安曝險情形,以協助臺灣中小型零售電商業者借鏡,改善其可能存在之外在曝險。
零售業一直以來都是駭客重點攻擊的產業之一,零售交易當中所搜集及處理之個人資料,舉凡姓名、地址、電話、交易細節乃至買家財務訊息,皆為高風險且高價值之個人資訊。COVID-19至今迫使消費者改變購物習慣,也加速了零售產業之數位轉型。各類型零售業之網路銷售金額,於 2021 第三季呈現18%~80% 之年增率,且部分類型於疫情期間甚至逐季翻倍成長。然而,在零售產業數位化的過程中,多數業者在資訊安全防護上仍普遍不足; 根據統計,駭客攻擊平均每 39 秒發生一次,尤其43% 駭客攻擊更是針對中小型企業。同時,駭客攻擊成本逐漸降低,美金400元即可進行網站滲透,導致近兩年的資安事件亦呈現倍數成長。
專注於資安檢測的Cymetrics團隊,透過自身研發的非侵入式曝險評估及服務(EAS),針對臺灣前 10 大零售電商業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向。調查結果顯示,普遍網站表現不佳,推測其大多採用網站套件或網路伺服器預設值,使其安全性設置不完善;而電子郵件安全配置鬆散,其中某家知名連鎖超商業者,甚至未針對其主要網域設置認證機制,有極高機率使得駭客可藉由釣魚信件,有機可乘。
Cymetrics點出報告當中的四項重大發現:
- 90%的電商業者,網站安全性設置不夠完善,由於網站安全設定為公開可輕易獲取之資訊,過多之網站曝險亦代表內部資訊安全管控不嚴謹,非常容易使自身成為駭客的首要標的。
- 80%的電商業者,電子郵件安全配置鬆散,使得內部員工易將釣魚信件視為正常內容,點擊後即上當受騙。
- 50%的電商業者,員工內部帳號及相關資訊已外洩,容易遭憑證填充攻擊,駭客只要登入,即可進一步進行橫移及滲透。
- 其中1家電商域名管理不嚴謹,可遭域名劫持攻擊。由於某子網域服務已不存在但 DNS 紀錄疏於管理未移除,易使駭客註冊該服務並架設類似之服務混淆用戶,用戶將極容易被騙取帳號、密碼及卡號。