旅遊業再爆資安威脅 7成臺灣五星飯店電子郵件成漏洞
(臺灣國內15間知名五星級飯店接受資安檢測結果。資料來源/Cymetrics)
旅遊業才發生過旅行社個資外泄,傳出知名五星級飯店業的IT系統也難逃資安威脅,專業資安檢測品牌Cymetrics,15日發佈臺灣飯店業資安曝險調查報告,發現7成業者並未妥善管理電子郵件的安全、相關設置不完全,將導致業者及消費者遭受社交工程威脅。
在調查名單上的臺灣國內15間知名五星級飯店業者,包括老爺酒店、香格里拉集團等等,此次是被評級與分析部分,是外在的資安曝險情形。
Cymetrics團隊透過自身研發的非侵入式曝險評估及服務(EAS),檢測知名飯店的網路服務、網站、電子郵件、帳號密碼與雲端安全面向。該團隊表示,此次報告於發佈前,已提供所提及的15家飯店業者瞭解,其中有業者積極迴應,如煙波國際觀光集團,並迅速執行內部盤點,以確認帳密部分並未造成影響,因此總評級大幅提升。
調查的重點之一爲電子郵件,Cymetrics團隊指出,臺灣飯店業者之間的落差較大,資安評級分別落在A+~C,有7成的業者並未妥善管理電子郵件的安全,其中多數未進行DMARC與SPF的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民衆與員工,他們因而可能遭受社交工程,導致資料外泄的情形發生。
反而是金管會甫作出指導原則的雲端安全,Cymetrics團隊指出,臺灣飯店業者評級分數皆爲A+以上,代表飯店業者皆透過公有云的服務來建構自己的線上服務體系,因此妥善且安全的運用雲端資源是必要的投入。