資安調查：九成航空旅遊業者有帳密外洩風險

隨著疫情趨緩、各國陸續解封，疫後旅遊市場逐漸開始回溫；隨著大眾開始購買機票或旅行團行程，航空旅遊業者所擁有的消費者個資也不容忽視，資安檢測品 Cymetrics 利用其曝險評估即服務 (Exposure Assessment as a Service，EAS)，評級並分析台灣 15 大航空旅遊業者的外在資安曝險情形，以協助業者了解資安狀態，改善可能的外在曝險，高達九成業者出現帳號密碼外洩漏洞，亟需業者加強資安控管。

Cymetrics 透過 EAS 針對台灣 15 大航空旅遊業者網域做檢測，包括網路服務、網站、電子郵件、帳號密碼與雲端安全。

網路服務

幾乎全部的航空旅遊業者皆有控管對外服務，資安評級平均落在 A 以上，即從外部角度蒐集不到資料，很難針對業者的對外服務進行資料蒐集及攻擊嘗試。

網站

台灣航空旅遊業者資安評級平均落在 A 至 C+，也就是有外部曝險面弱點，可能成為攻擊者攻擊鏈的一環。多數業者問題來自網站相關套件與應用的錯誤設定，或未更新至安全的版本等常見的弱點，將可能導致攻擊者已知舊版本弱點的攻擊腳本，或是透過簡易的跨站攻擊繞過網站的安全性驗證甚至取得客戶資料。

電子郵件

台灣航空旅遊業者之間的落差較大，資安評級分別落在 A+ 至 C-，有半數的業者並未妥善管理電子郵件的安全，其中多數未進行 DMARC 與 SPF 的正確設定，將可能導致攻擊者透過業者的相同郵件網域，發送惡意郵件給民眾與員工，他們因而可能遭受社交工程，導致資料外洩的情形發生。

帳號密碼

台灣航空旅遊業者資安評級較為兩極，集中 A+ 及 C，九成業者已發生帳號密碼外洩，包含員工個人的帳號及系統，或是對外服務所使用的公用帳號，同時曾發生帳號密碼外洩的業者中，都出現外洩多組的帳號密碼，將讓攻擊者可以精準鎖定目標，執行釣魚或直接滲透各項系統。

雲端安全

台灣航空旅遊業者評級分數皆為 A+ 以上。此次調查並未發現航空旅遊業者在網域名稱下有任何對外公開之雲端儲存體或公共程式庫，然而 Cymetrics 預期在數位轉型驅動下，有越來越多企業會逐步採納公有雲服務，業者仍須時刻關心，在透過公有雲業者協助快速擴增新服務的同時，是否安全使用相關資源。

（Source：Cymetrics）

（首圖來源：Pixabay）