安全测试机构 ImmuniWeb 日前发布了一项全球大型金融机构安全评测报告。报告指出,就应用程序安全性、隐私保护和合规性而言,这些大型金融机构的安全状况令人担忧。全球 97% 的大型金融机构容易受到网络和移动攻击,在 SSL 加密和网站安全方面仅有三家机构获得 A+ 的评价。
这三家机构分别为瑞士信贷(Credit Suisse)、丹麦丹斯克银行(Danske Bank)和瑞典 Handelsbanken 银行。ImmuniWeb 在这三家金融机构的主要网站上没有发现任何漏洞或配置错误。此外,还有五家金融机构因“发现存在可被利用的公开安全漏洞”而未能通过检测。
据悉,在 ImmuniWeb 进行的评测中,共有 40 家机构的评价结果为 A,20 家机构为 B,还有 31 家机构被评为 C。A 表示被发现的安全问题“微不足道”或“略显不足”;B 意味着发现一些小问题或者未发现足够的安全强化问题;而 C 则表示网站上有安全漏洞或数个严重的错误配置。
在电子银行方面,获得 A+ 评价的机构略多一些,达到 15 家;A 为 27 家;B 为 13 家;C 为 40 家。另外还有 7 家机构获得 F 评价,代表被发现存在可利用的公开安全漏洞。
就主网站的 SSL/TLS 加密安全等级而言,获得 A+ 评价的金融机构有所提高,但也有未能通过检测的机构。其中,共有 25 家金融机构获得 A+ 评价,A 为 54 家;B 为 7 家;仅有一家金融机构获得 C 评价,但也有 13 家金融机构没有采用加密,或者被发现存在可利用的安全漏洞而未能通过检测。电子银行网络应用程序的 SSL/TLS 加密总体表现要好一些,共有 29 家金融机构获得最高的 A+ 评价,仅有两家金融机构未能通过检测。
另外,只有 39 家金融机构通过《通用数据保护条例》(GDPR)主站合规性测试,共有 2081 个子域名未通过测试。电子银行网站通过 GDPR 合规性测试的仅有 17 家机构。
Immuniweb 透露,每个网站平均包含两个不同的 web 软件组件,JS 库、框架或其他第三方代码。多达 29 个网站包含至少一个公开披露的中等或高风险的未修补安全漏洞。在研究过程中检测到的最原始的未打补丁的漏洞是 jQuery 1.6.1 版本中的 CVE-2011-4969,这个漏洞最早在 2011 年被发现。ImmuniWeb 表示,最常见的网站漏洞是 XSS(跨站点脚本,OWASP A7)、敏感数据暴露(OWASP A3)和安全错误配置(OWASP A6)。
此外,过期组件在二级域名更加糟糕:81% 的二级域名含有过期组件,2% 的二级域名存在已被公开披露并且可被利用的中、高风险漏洞。
ImmuniWeb 表示,该机构所调查的银行都存在安全漏洞或与被弃用的二级域名相关的问题。
该机构还对网络钓鱼攻击进行检测,研究发现在 29 起活跃的网络钓鱼活动中,大多数恶意网站都在美国托管,其中美国银行的客户受到的攻击次数最高,达到 8 次,富国银行和摩根大通次之,分别为 7 次和 3 次。在检测中,摩根大通总共有受到 227 次网络钓鱼攻击。
调查还拓展到移动银行应用程序,ImmuniWeb 表示,有 55 家银行允许访问敏感的银行数据。这些移动应用程序总共与 298 个后端 API 进行通信,以便从各自的银行发送或接收数据。
Immuniweb 直言这些发现“令人相当担忧”。报告指出所有的移动银行应用程序至少包含一个低风险安全漏洞,92% 移动银行应用程序至少包含一个中等风险安全漏洞,还有 20% 包含至少一个高风险漏洞。
Immuniweb 首席执行官兼创始人伊利亚·科洛琴科(Ilia Kolochenko)最后表示,考虑到研究方法不具有侵入性,以及银行机构可利用重要财政资源,研究结果表明金融机构有必要迅速修订并加强其现有的应用程序安全方法。
来源:凤凰网科技
更多资讯
2500 万 Android 设备被“Agent Smith”恶意软件感染
根据报道,一种名为 Agent Smith 的新型 Android 恶意软件已经感染了 2500 万部手机,其目的是推送广告或劫持有效的广告事件。受害者被引诱从第三方应用商店下载伪装成照片应用程序、色情相关应用程序或游戏等病毒程序,一旦下载完毕,这些程序就会下载 Agent Smith。该恶意软件通常伪装成 Google Updater、Google Update for U 或 com.google.vending 等实用工具 ,并对用户隐藏其图标。
来源: 开源中国
详情: http://www.dbsec.cn/zx/20190712-2.html
30 款 App 违规收集个人信息被通报 含探探、韵达快递等
App 专项治理工作组公告显示,探探、人人、趣店、春雨医生、天天酷跑、韵达快递等 30 款 App 因违反《网络安全法》关于收集使用个人信息的规定,被通报整改。根据公告显示,中国银行手机银行、春雨医生、魔漫相机、韵达快递等 10 款 App 违反《网络安全法》第四十一条“公开使用收集个人信息规则”的要求,无隐私政策。
来源: cnBeta.COM
详情: http://www.dbsec.cn/zx/20190712-3.html
刷好评删差评将被列入严重失信名单
国家市场监管总局公布了《严重违法失信名单管理办法(修订草案征求意见稿)》,意见递交截止日期为 2019 年 8 月 10 日。《征求意见稿》包含了两条与电商相关的条款…
来源: solidot.org
详情: http://www.dbsec.cn/zx/20190712-4.html
报告称 2018 年发生百万起网络袭击 损失逾 450 亿美元
中新网7月11日电 综合报道,一项报告指出,2018 年,全球估计发生了超过 200 万起网络袭击事件,造成逾 450 亿美元的损失,不少地方政府受到恶意攻击而疲于奔命,但其实有超过 95% 的网络攻击皆可避免。
来源: 中国新闻网
详情: http://www.dbsec.cn/zx/20190712-5.html
(信息来源于网络,安华金和搜集整理)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/51243.html