安全動(dòng)態(tài)

全世界97%的銀行都無(wú)法保障你存款的安全

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-07-11    瀏覽次數(shù):
 

信息來(lái)源:cnBeta

安全測(cè)試機(jī)構(gòu)ImmuniWeb日前發(fā)布了一項(xiàng)全球大型金融機(jī)構(gòu)安全評(píng)測(cè)報(bào)告。報(bào)告指出,就應(yīng)用程序安全性、隱私保護(hù)和合規(guī)性而言,這些大型金融機(jī)構(gòu)的安全狀況令人擔(dān)憂(yōu)。全球97%的大型金融機(jī)構(gòu)容易受到網(wǎng)絡(luò)和移動(dòng)攻擊,在SSL加密和網(wǎng)站安全方面僅有三家機(jī)構(gòu)獲得A+的評(píng)價(jià)。

這三家機(jī)構(gòu)分別為瑞士信貸(Credit Suisse)、丹麥丹斯克銀行(Danske Bank)和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機(jī)構(gòu)的主要網(wǎng)站上沒(méi)有發(fā)現(xiàn)任何漏洞或配置錯(cuò)誤。此外,還有五家金融機(jī)構(gòu)因“發(fā)現(xiàn)存在可被利用的公開(kāi)安全漏洞”而未能通過(guò)檢測(cè)。

據(jù)悉,在ImmuniWeb進(jìn)行的評(píng)測(cè)中,共有40家機(jī)構(gòu)的評(píng)價(jià)結(jié)果為A,20家機(jī)構(gòu)為B,還有31家機(jī)構(gòu)被評(píng)為C。A表示被發(fā)現(xiàn)的安全問(wèn)題“微不足道”或“略顯不足”;B意味著發(fā)現(xiàn)一些小問(wèn)題或者未發(fā)現(xiàn)足夠的安全強(qiáng)化問(wèn)題;而C則表示網(wǎng)站上有安全漏洞或數(shù)個(gè)嚴(yán)重的錯(cuò)誤配置。

在電子銀行方面,獲得A+評(píng)價(jià)的機(jī)構(gòu)略多一些,達(dá)到15家;A為27家;B為13家;C為40家。另外還有7家機(jī)構(gòu)獲得F評(píng)價(jià),代表被發(fā)現(xiàn)存在可利用的公開(kāi)安全漏洞。

就主網(wǎng)站的SSL/TLS加密安全等級(jí)而言,獲得A+評(píng)價(jià)的金融機(jī)構(gòu)有所提高,但也有未能通過(guò)檢測(cè)的機(jī)構(gòu)。其中,共有25家金融機(jī)構(gòu)獲得A+評(píng)價(jià),A為54家;B為7家;僅有一家金融機(jī)構(gòu)獲得C評(píng)價(jià),但也有13家金融機(jī)構(gòu)沒(méi)有采用加密,或者被發(fā)現(xiàn)存在可利用的安全漏洞而未能通過(guò)檢測(cè)。電子銀行網(wǎng)絡(luò)應(yīng)用程序的SSL/TLS加密總體表現(xiàn)要好一些,共有29家金融機(jī)構(gòu)獲得最高的A+評(píng)價(jià),僅有兩家金融機(jī)構(gòu)未能通過(guò)檢測(cè)。

另外,只有39家金融機(jī)構(gòu)通過(guò)《通用數(shù)據(jù)保護(hù)條例》(GDPR)主站合規(guī)性測(cè)試,共有2081個(gè)子域名未通過(guò)測(cè)試。電子銀行網(wǎng)站通過(guò)GDPR合規(guī)性測(cè)試的僅有17家機(jī)構(gòu)。

Immuniweb透露,每個(gè)網(wǎng)站平均包含兩個(gè)不同的web軟件組件,JS庫(kù)、框架或其他第三方代碼。多達(dá)29個(gè)網(wǎng)站包含至少一個(gè)公開(kāi)披露的中等或高風(fēng)險(xiǎn)的未修補(bǔ)安全漏洞。在研究過(guò)程中檢測(cè)到的最原始的未打補(bǔ)丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,這個(gè)漏洞最早在2011年被發(fā)現(xiàn)。ImmuniWeb表示,最常見(jiàn)的網(wǎng)站漏洞是XSS(跨站點(diǎn)腳本,OWASP A7)、敏感數(shù)據(jù)暴露(OWASP A3)和安全錯(cuò)誤配置(OWASP A6)。

此外,過(guò)期組件在二級(jí)域名更加糟糕:81%的二級(jí)域名含有過(guò)期組件,2%的二級(jí)域名存在已被公開(kāi)披露并且可被利用的中、高風(fēng)險(xiǎn)漏洞。

ImmuniWeb表示,該機(jī)構(gòu)所調(diào)查的銀行都存在安全漏洞或與被棄用的二級(jí)域名相關(guān)的問(wèn)題。

該機(jī)構(gòu)還對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊進(jìn)行檢測(cè),研究發(fā)現(xiàn)在29起活躍的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,大多數(shù)惡意網(wǎng)站都在美國(guó)托管,其中美國(guó)銀行的客戶(hù)受到的攻擊次數(shù)最高,達(dá)到8次,富國(guó)銀行和摩根大通次之,分別為7次和3次。在檢測(cè)中,摩根大通總共有受到227次網(wǎng)絡(luò)釣魚(yú)攻擊。

調(diào)查還拓展到移動(dòng)銀行應(yīng)用程序,ImmuniWeb表示,有55家銀行允許訪問(wèn)敏感的銀行數(shù)據(jù)。這些移動(dòng)應(yīng)用程序總共與298個(gè)后端API進(jìn)行通信,以便從各自的銀行發(fā)送或接收數(shù)據(jù)。

Immuniweb直言這些發(fā)現(xiàn)“令人相當(dāng)擔(dān)憂(yōu)”。報(bào)告指出所有的移動(dòng)銀行應(yīng)用程序至少包含一個(gè)低風(fēng)險(xiǎn)安全漏洞,92%移動(dòng)銀行應(yīng)用程序至少包含一個(gè)中等風(fēng)險(xiǎn)安全漏洞,還有20%包含至少一個(gè)高風(fēng)險(xiǎn)漏洞。

Immuniweb首席執(zhí)行官兼創(chuàng)始人伊利亞·科洛琴科(Ilia Kolochenko)最后表示,考慮到研究方法不具有侵入性,以及銀行機(jī)構(gòu)可利用重要財(cái)政資源,研究結(jié)果表明金融機(jī)構(gòu)有必要迅速修訂并加強(qiáng)其現(xiàn)有的應(yīng)用程序安全方法。

 
 

上一篇:全國(guó)電信網(wǎng)絡(luò)詐騙案件月發(fā)案數(shù)首降

下一篇:2019年07月11日 聚銘安全速遞