安全廠商Immuniweb檢視全球最大的100家國際機場網站及App的安全性,聲稱只有3家機場通過安全測試,其中一家是荷蘭阿姆斯特丹史基浦(Schiphol)機場。Photo by StevenLon https://commons.wikimedia.org/wiki/File:Schiphol_airport_and_train_station_-_Amsterdam_-_February_2010_-_panoramio.jpg ((CC BY-SA 3.0)

一家資安公司報告指出,他們檢視全球最大的100家國際機場網站及App的安全性,其中只有3家機場通過安全測試。

在這項測試報告中,安全廠商Immuniweb檢視了全球最大的100家國際機場的網站、手機App郵件伺服器和API安全性,像是Web App防火牆(WAF)、TLS加密、是否符合GDPR及PCI- DSS(Payment Card Industry–Data Security Standard)標準,以及它們的公有雲儲存安全性、是否有資訊或程式碼外洩到暗網或GitHub上。研究結果顯示,只有三家國際機場通過所有測試,包括荷蘭阿姆斯特丹史基浦(Schiphol)機場、芬蘭赫爾辛基萬塔(Vantaa)機場,以及愛爾蘭都柏林機場。不過該報告未列出其他機場名單。

分析顯示,97家機場網站包含過時Web軟體,24%有已知且可被開採的漏洞。76%和73%不符合GDPR及PCI DSS安全標準。有24%網站未採用SSL加密或使用老舊的SSLv3。使用WAF的比例為55%。

在研究團隊檢視的36支機場App中,全部都有至少2個漏洞,15支有安全或隱私疑慮,超過三分之一的App其對外連線不提供加密。

在這些機場的雲端服務安全性,以及是否確保資料不外洩到外部網站被有心人士取得方面,研究顯示,66%的機場資料外洩到暗網上,而外洩的325件資訊中,有72件屬於重大或高風險外洩。87%的機場資訊流到GitHub上,外洩的3000多項中,有503件屬於重大或高風險外洩。而在13家使用公有雲的機場中,有4家機場沒有針對含有敏感資料的雲端資料庫設定密碼保護。

ImmuniWeb統計指出,出現洩露密碼、API金鑰和私有憑證等機密資訊等重大風險問題的機場有59家,犯了洩露第三方系統密碼及內部程式碼等高風險問題的機場有61家。此外,有7成機場洩露內部資訊(如組態檔或內部路徑),有8成機場含有bug內部討論或技術細節外洩等低風險安全問題。


Advertisement

更多 iThome相關內容