Cymetrics發布臺灣航空旅遊業資安曝險調查報告,針對15家知名航空旅遊業者的外在資安曝險情形進行評級與分析。近期隨著疫情趨緩,各個國家國境陸續解封,疫後旅遊市場逐漸開始回溫,根據《2022年第三季度亨利全球流動性報告》指出,2022年旅客人數應達到疫情前83%水平,預估2023年市場的流量應達到或超過疫情前的水平。
隨著大眾開始購買機票或旅行團行程,航空旅遊業者所擁有的消費者個資也不容忽視,因此Cymetrics利用其曝險評估即服務(Exposure Assessment as a Service,EAS),評級並分析臺灣15大航空旅遊業者的外在資安曝險情形,以協助業者了解自身的資安狀況,改善其可能存在之外在曝險,其中高達9成業者出現帳號密碼外洩漏洞,亟需業者加強資安控管,使消費者能安心購買。
Cymetrics團隊透過自身研發的非侵入式曝險評估及服務(EAS),針對臺灣15大航空旅遊業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向,此次報告於發布前皆提供所提及的15家航空旅遊業者參看,以使業者能重視資安風險。其重點結果包含:
網路服務:幾乎全部的航空旅遊業者皆有控管對外服務,資安評級平均落在A以上的等級,即從外部的角度蒐集不到資料,很難針對業者的對外服務進行資料蒐集及攻擊嘗試。
網站:臺灣航空旅遊業者資安評級平均落在A~ C+,也就是有外部曝險面上的弱點,可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,將可能導致攻擊者已知舊版本弱點的攻擊腳本,或是透過簡易的跨站攻擊繞過網站的安全性驗證甚至取得客戶資料。
電子郵件:臺灣航空旅遊業者之間的落差較大,資安評級分別落在A+~C-,有半數的業者並未妥善管理電子郵件的安全,其中多數未進行DMARC與SPF的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民眾與員工,因而可能遭受社交工程,導致資料外洩的情形發生。
帳號密碼:臺灣航空旅遊業者資安評級較為兩極,主要集中於A+及C,其中9成業者已發生帳號密碼外洩,包含員工個人的帳號以及系統,或是對外服務所使用的公用帳號,同時曾發生帳號密碼外洩的業者中,都出現外洩多組的帳號密碼,將讓攻擊者可以精準鎖定目標,執行釣魚或直接滲透各項系統。
雲端安全:臺灣航空旅遊業者評級分數皆為A+以上。本調查並未發現航空旅遊業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而Cymetrics預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,業者仍須時刻關心,在透過公有雲業者協助快速擴增新服務的同時,是否安全地使用相關資源。