在应用程序安全性,隐私和合规性调查中,测试公司ImmuniWeb强调了世界上最大的金融机构的安全状态 ,测试结果只有三家银行获得了A+安全评级。
这3家银行分别是瑞士的瑞士信贷、丹麦的Danske银行和瑞典商业银行,在其主要网站上没有发现任何单一问题或错误配置,之前由于“可利用且公开的安全漏洞被发现”,世界上最大的五家金融机构遭遇了失败。
40个组织机构获得了A,这意味着发现了“微不足道”的问题,或者“安全加强”略微不足; 20人获得了B,发现了几个小问题或未发现的安全硬化不足; 31个机构评级C,这些机构的网站包含安全漏洞或几个严重的错误配置。
在电子银行方面,有15家机构获得A+分; 27家机构获得A; 13家机构获得B; 40家机构获得C; 还有7个机构获得F评级,这意味着发现了可利用且公开的安全漏洞。
根据网站的SSL / TLS加密安全评级,25个机构获得A+; 54个机构获得A; 7个机构获得B; 一个机构收到了C; 还有13家机构没有配置SSL/TLS。
电子银行Web应用程序的SSL / TLS加密安全等级要好得多,其中29个得分最高,只有两个失败。
只有39家金融机构通过了GDPR主网站合规测试,共有2,081个子域名失败。17家电子银行网站通过了GDPR合规测试。
ImmuniWeb表示,平均而言,每个网站都包含两个不同的网络软件组件,即JS库,框架或其他第三方代码。多达29个网站至少包含一个公开披露和未修补的安全漏洞,该漏洞被归类为中等或高风险。
研究期间检测到的最旧未修补漏洞是CVE-2011-4969,影响了自2011年以来已知的jQuery 1.6.1.ImpmuniWeb表示最受欢迎的网站漏洞是XSS(跨站点脚本,OWASP A7),敏感数据暴露(OWASP) A3)和安全配置错误(OWASP A6)。
“对于子域名,过时组件的情况更加灾难性:81%的包含可指纹外部软件的子域名已经过时的组件,2%包含公开披露和可利用的中高风险漏洞,”该公司写道。
ImmuniWeb表示,它调查的100%的银行也存在安全漏洞或与被遗忘的子域相关的问题。
该公司还表示,它检测到29个活跃的网络钓鱼活动,大多数恶意网站都在美国托管,富国银行客户为7个,美国银行客户数量为8个,摩根大通客户受到3个。总计227起网络钓鱼活动成为摩根大通的目标。
该调查扩展到移动银行应用程序,ImmuniWeb报告称55家银行允许访问敏感的银行数据。总的来说,这些移动应用程序与298个后端API进行通信,以便从各自的银行发送或接收数据。
ImmuniWeb称调查结果“非常令人不安”,100%的移动银行应用程序包含至少一个低风险安全漏洞,92%至少有一个中等风险安全漏洞,20%至少包含一个高风险漏洞。
“鉴于我们研究的非侵入式方法,以及银行可用的重要财务资源,调查结果敦促金融机构迅速修改和增强其现有的应用安全方法,”ImmuniWeb首席执行官兼创始人Ilia Kolochenko说。
