全世界97%的銀行都無法保障你存款的安全
安全測試機構ImmuniWeb日前發布了一項全球大型金融機構安全評測報告。報告指出,就應用程序安全性、隱私保護和合規性而言,這些大型金融機構的安全狀況令人擔憂。全球97%的大型金融機構容易受到網絡和移動攻擊,在SSL加密和網站安全方面僅有三家機構獲得A+的評價。
這三家機構分別為瑞士信貸(Credit Suisse)、丹麥丹斯克銀行(Danske Bank)和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機構的主要網站上沒有發現任何漏洞或配置錯誤。此外,還有五家金融機構因“發現存在可被利用的公開安全漏洞”而未能通過檢測。
據悉,在ImmuniWeb進行的評測中,共有40家機構的評價結果為A,20家機構為B,還有31家機構被評為C。A表示被發現的安全問題“微不足道”或“略顯不足”;B意味著發現一些小問題或者未發現足夠的安全強化問題;而C則表示網站上有安全漏洞或數個嚴重的錯誤配置。
在電子銀行方面,獲得A+評價的機構略多一些,達到15家;A為27家;B為13家;C為40家。另外還有7家機構獲得F評價,代表被發現存在可利用的公開安全漏洞。
就主網站的SSL/TLS加密安全等級而言,獲得A+評價的金融機構有所提高,但也有未能通過檢測的機構。其中,共有25家金融機構獲得A+評價,A為54家;B為7家;僅有一家金融機構獲得C評價,但也有13家金融機構沒有採用加密,或者被發現存在可利用的安全漏洞而未能通過檢測。電子銀行網絡應用程序的SSL/TLS加密總體表現要好一些,共有29家金融機構獲得最高的A+評價,僅有兩家金融機構未能通過檢測。
另外,只有39家金融機構通過《通用數據保護條例》(GDPR)主站合規性測試,共有2081個子域名未通過測試。電子銀行網站通過GDPR合規性測試的僅有17家機構。
Immuniweb透露,每個網站平均包含兩個不同的web軟件組件,JS庫、框架或其他第三方代碼。多達29個網站包含至少一個公開披露的中等或高風險的未修補安全漏洞。在研究過程中檢測到的最原始的未打補丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,這個漏洞最早在2011年被發現。ImmuniWeb表示,最常見的網站漏洞是XSS(跨站點腳本,OWASP A7)、敏感數據暴露(OWASP A3)和安全錯誤配置(OWASP A6)。
此外,過期組件在二級域名更加糟糕:81%的二級域名含有過期組件,2%的二級域名存在已被公開披露並且可被利用的中、高風險漏洞。
ImmuniWeb表示,該機構所調查的銀行都存在安全漏洞或與被棄用的二級域名相關的問題。
該機構還對網絡釣魚攻擊進行檢測,研究發現在29起活躍的網絡釣魚活動中,大多數惡意網站都在美國託管,其中美國銀行的客戶受到的攻擊次數最高,達到8次,富國銀行和摩根大通次之,分別為7次和3次。在檢測中,摩根大通總共有受到227次網絡釣魚攻擊。
調查還拓展到移動銀行應用程序,ImmuniWeb表示,有55家銀行允許訪問敏感的銀行數據。這些移動應用程序總共與298個後端API進行通信,以便從各自的銀行發送或接收數據。
Immuniweb直言這些發現“令人相當擔憂”。報告指出所有的移動銀行應用程序至少包含一個低風險安全漏洞,92%移動銀行應用程序至少包含一個中等風險安全漏洞,還有20%包含至少一個高風險漏洞。
Immuniweb首席執行官兼創始人伊利亞·科洛琴科(Ilia Kolochenko)最後表示,考慮到研究方法不具有侵入性,以及銀行機構可利用重要財政資源,研究結果表明金融機構有必要迅速修訂並加強其現有的應用程序安全方法。