資安調查：全台7成五星飯店未妥善管理電子郵件安全 消費者易受詐騙威脅




侯冠州｜Yahoo財經特派記者
2023年8月16日 週三 下午4:36


資安檢測品牌Cymetrics近日發表台灣飯店業資安曝險調查報告，針對台灣國內15間知名五星級飯店業者的外在資安曝險情形，進行評級與分析。結果顯示，高達7成五星飯店並未妥善管理電子郵件的安全，相關設置不完全，將導致業者及消費者遭受社交工程威脅，業者需加強資安控管，使消費者能安心選擇。

資安業者調查七成台五星飯店電郵設置不全。（圖／取材自Cymetrics）
Cymetrics透過自身研發的非侵入式曝險評估及服務（EAS），針對台灣前15大知名五星級飯店業者網域做檢測，包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向。
企業加碼升級5G專網資安 趨勢科技：2027年投資金額達129億美元
網路服務
在網路服務中，發現飯店業者中普遍評級分數落在A+到B+，代表業者在網路服務管理上面有些落差，5成業者將網域名稱下的對外公開網路服務管理妥善，並僅開放必要之服務，但仍有3成業者的FTP被偵測到為公開的服務，將讓攻擊者有機會藉由FTP竊取資料和上傳惡意檔案。
網站
台灣飯店業者資安評級平均落在A到C-，也就是有外部曝險面上的弱點，可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定，或未更新至安全的版本等常見的弱點，將可能導致攻擊者已知舊版本弱點的攻擊腳本，或是透過簡易的跨站攻擊繞過網站的安全性驗證甚至取得客戶資料。
資安院攜工研院建AI評測機制 年底成立AI產品與系統評測中心
電子郵件
台灣飯店業者之間的落差較大，資安評級分別落在A+到C，有7成業者並未妥善管理電子郵件的安全，其中多數未進行DMARC與SPF的正確設定，將可能導致攻擊者透過業者的相同郵件網域，發送惡意郵件給民眾與員工，他們因而可能遭受社交工程，導致資料外洩的情形發生。
帳號密碼
台灣飯店業者資安評級較為兩極，主要集中於A+及C，其中8成業者已發生帳號密碼外洩，包含員工個人的帳號以及系統，或是對外服務所使用的公用帳號，同時曾發生帳號密碼外洩的業者中，都出現外洩多組的帳號密碼，將讓攻擊者可以精準鎖定目標，執行釣魚或直接滲透各項系統。
雲端安全
台灣飯店業者評級分數皆為 A+ 以上，代表飯店業者皆透過公有雲的服務來建構自己的線上服務體系，因此妥善且安全的運用雲端資源是必要的投入。

五星飯店調查評級與細項。（圖／取材自Cymetrics）
Cymetrics表示，疫後觀光產業快速復甦，促使飯店業者應而開始數位轉型，整合更多AI科技解決方案，來節省現有人員勞動力。面對大量的消費者個資與金流資訊，飯店旅宿成為潛在攻擊的入口，尤其在繁複的上下游資訊鏈整合、APP應用中，供應鏈安全及攻擊面管理的議題更顯重要。