旅館資安有漏洞！7成台灣五星飯店的電子郵件易讓旅客遭詐騙威脅

图片及资料来源：Cymetrics、美通社

资安公司 Cymetrics 针对台湾 15 间知名五星级饭店进行资安曝险评估即分析 (Exposure Assessment as a Service，EAS)，发现高达 7 成业者并未妥善管理电子邮件的安全，相关设置不完全，将导致业者及消费者遭受社交工程威胁，极需业者加强资安控管，使消费者能安心。

这次分析以台湾前 15 大知名五星级饭店的网域做检测，包括网路服务、网站、电子邮件、帐号密码与云端安全面向。

图片及资料来源：Cymetrics、美通社

检查过后发现，饭店业者的网路服务评分落在 A+ ~ B+，代表业者在网路服务管理上面有些落差，5成业者将网域名称下的对外公开网路服务管理妥善，并仅开放必要之服务，但仍有 3 成业者的 FTP 被侦测到为公开的服务，将让攻击者有机会借由 FTP 窃取资料和上传恶意档案。

饭店网站的资安等级平均落在 A~ C-，在外部曝险有弱点，甚至可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定，或未更新至安全的版本等常见的弱点，将可能导致攻击者已知旧版本弱点的攻击脚本，或是透过简易的跨站攻击绕过网站的安全性验证甚至取得客户资料。

电子邮件的资安落差较大，评分落在 A+~C，有 7 成的业者并未妥善管理电子邮件的安全，其中多数未进行 DMARC 与 SPF 的正确设定，将可能导致攻击者透过业者的相同邮件网域，发送恶意邮件给民众与员工，他们因而可能遭受社交工程，导致资料外泄的情形发生。

帐号密码的资方评分较为两极，主要集中于 A+ 及 C，值得注意的是 8 成业者已发生帐号密码外泄，包含员工个人的帐号以及系统，或是对外服务所使用的公用帐号，同时曾发生帐号密码外泄的业者中，都出现外泄多组的帐号密码，将让攻击者可以精准锁定目标，执行钓鱼或直接渗透各项系统。

至于云端安全则是落在 A+ 以上，代表饭店业者皆透过公有云的服务来建构自己的线上服务体系，因此妥善且安全的运用云端资源是必要的投入。

《原文刊登于合作媒体三嘻行动哇，联合新闻网获授权转载。》