信息來源:cnBeta
安全測試機構ImmuniWeb日前發(fā)布了一項全球大型金融機構安全評測報告���。報告指出,就應用程序安全性���、隱私保護和合規(guī)性而言��,這些大型金融機構的安全狀況令人擔憂��。全球97%的大型金融機構容易受到網絡和移動攻擊����,在SSL加密和網站安全方面僅有三家機構獲得A+的評價��。
這三家機構分別為瑞士信貸(Credit Suisse)��、丹麥丹斯克銀行(Danske Bank)和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機構的主要網站上沒有發(fā)現(xiàn)任何漏洞或配置錯誤��。此外���,還有五家金融機構因“發(fā)現(xiàn)存在可被利用的公開安全漏洞”而未能通過檢測����。
據(jù)悉��,在ImmuniWeb進行的評測中���,共有40家機構的評價結果為A��,20家機構為B����,還有31家機構被評為C���。A表示被發(fā)現(xiàn)的安全問題“微不足道”或“略顯不足”����;B意味著發(fā)現(xiàn)一些小問題或者未發(fā)現(xiàn)足夠的安全強化問題����;而C則表示網站上有安全漏洞或數(shù)個嚴重的錯誤配置��。
在電子銀行方面��,獲得A+評價的機構略多一些���,達到15家;A為27家����;B為13家;C為40家����。另外還有7家機構獲得F評價����,代表被發(fā)現(xiàn)存在可利用的公開安全漏洞。
就主網站的SSL/TLS加密安全等級而言��,獲得A+評價的金融機構有所提高��,但也有未能通過檢測的機構��。其中,共有25家金融機構獲得A+評價��,A為54家��;B為7家����;僅有一家金融機構獲得C評價,但也有13家金融機構沒有采用加密���,或者被發(fā)現(xiàn)存在可利用的安全漏洞而未能通過檢測����。電子銀行網絡應用程序的SSL/TLS加密總體表現(xiàn)要好一些���,共有29家金融機構獲得最高的A+評價���,僅有兩家金融機構未能通過檢測。
另外����,只有39家金融機構通過《通用數(shù)據(jù)保護條例》(GDPR)主站合規(guī)性測試,共有2081個子域名未通過測試。電子銀行網站通過GDPR合規(guī)性測試的僅有17家機構���。
Immuniweb透露����,每個網站平均包含兩個不同的web軟件組件���,JS庫���、框架或其他第三方代碼。多達29個網站包含至少一個公開披露的中等或高風險的未修補安全漏洞���。在研究過程中檢測到的最原始的未打補丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969��,這個漏洞最早在2011年被發(fā)現(xiàn)���。ImmuniWeb表示����,最常見的網站漏洞是XSS(跨站點腳本,OWASP A7)���、敏感數(shù)據(jù)暴露(OWASP A3)和安全錯誤配置(OWASP A6)����。
此外,過期組件在二級域名更加糟糕:81%的二級域名含有過期組件����,2%的二級域名存在已被公開披露并且可被利用的中、高風險漏洞��。
ImmuniWeb表示��,該機構所調查的銀行都存在安全漏洞或與被棄用的二級域名相關的問題��。
該機構還對網絡釣魚攻擊進行檢測����,研究發(fā)現(xiàn)在29起活躍的網絡釣魚活動中,大多數(shù)惡意網站都在美國托管���,其中美國銀行的客戶受到的攻擊次數(shù)最高���,達到8次,富國銀行和摩根大通次之���,分別為7次和3次���。在檢測中��,摩根大通總共有受到227次網絡釣魚攻擊���。
調查還拓展到移動銀行應用程序,ImmuniWeb表示��,有55家銀行允許訪問敏感的銀行數(shù)據(jù)���。這些移動應用程序總共與298個后端API進行通信���,以便從各自的銀行發(fā)送或接收數(shù)據(jù)。
Immuniweb直言這些發(fā)現(xiàn)“令人相當擔憂”���。報告指出所有的移動銀行應用程序至少包含一個低風險安全漏洞����,92%移動銀行應用程序至少包含一個中等風險安全漏洞����,還有20%包含至少一個高風險漏洞。
Immuniweb首席執(zhí)行官兼創(chuàng)始人伊利亞·科洛琴科(Ilia Kolochenko)最后表示��,考慮到研究方法不具有侵入性���,以及銀行機構可利用重要財政資源��,研究結果表明金融機構有必要迅速修訂并加強其現(xiàn)有的應用程序安全方法��。
