ImmuniWeb：全世界97%的銀行都無法保障你存款的安全

這三家機構分別為瑞士信貸（Credit Suisse）、丹麥丹斯克銀行（Danske Bank）和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機構的主要網站上沒有發現任何漏洞或配置錯誤。此外，還有五家金融機構因“發現存在可被利用的公開安全漏洞”而未能通過檢測。

據悉，在ImmuniWeb進行的評測中，共有40家機構的評價結果為A，20家機構為B，還有31家機構被評為C。A表示被發現的安全問題“微不足道”或“略顯不足”；B意味著發現一些小問題或者未發現足夠的安全強化問題；而C則表示網站上有安全漏洞或數個嚴重的錯誤配置。

在電子銀行方面，獲得A+評價的機構略多一些，達到15家；A為27家；B為13家；C為40家。另外還有7家機構獲得F評價，代表被發現存在可利用的公開安全漏洞。

就主網站的SSL/TLS加密安全等級而言，獲得A+評價的金融機構有所提高，但也有未能通過檢測的機構。其中，共有25家金融機構獲得A+評價，A為54家；B為7家；僅有一家金融機構獲得C評價，但也有13家金融機構沒有采用加密，或者被發現存在可利用的安全漏洞而未能通過檢測。電子銀行網路應用程式的SSL/TLS加密總體表現要好一些，共有29家金融機構獲得最高的A+評價，僅有兩家金融機構未能通過檢測。

另外，只有39家金融機構通過《通用資料保護條例》（GDPR）主站合規性測試，共有2081個子域名未通過測試。電子銀行網站通過GDPR合規性測試的僅有17家機構。

Immuniweb透露，每個網站平均包含兩個不同的web軟體元件，JS庫、框架或其他第三方程式碼。多達29個網站包含至少一個公開披露的中等或高風險的未修補安全漏洞。在研究過程中檢測到的最原始的未打補丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969，這個漏洞最早在2011年被發現。ImmuniWeb表示，最常見的網站漏洞是XSS（跨站點指令碼，OWASP A7）、敏感資料暴露（OWASP A3）和安全錯誤配置（OWASP A6）。

此外，過期元件在二級域名更加糟糕：81%的二級域名含有過期元件，2%的二級域名存在已被公開披露並且可被利用的中、高風險漏洞。

ImmuniWeb表示，該機構所調查的銀行都存在安全漏洞或與被棄用的二級域名相關的問題。

該機構還對網路釣魚攻擊進行檢測，研究發現在29起活躍的網路釣魚活動中，大多數惡意網站都在美國託管，其中美國銀行的客戶受到的攻擊次數最高，達到8次，富國銀行和摩根大通次之，分別為7次和3次。在檢測中，摩根大通總共有受到227次網路釣魚攻擊。

調查還擴充到移動銀行應用程式，ImmuniWeb表示，有55家銀行允許訪問敏感的銀行資料。這些移動應用程式總共與298個後端API進行通訊，以便從各自的銀行傳送或接收資料。

Immuniweb直言這些發現“令人相當擔憂”。報告指出所有的移動銀行應用程式至少包含一個低風險安全漏洞，92%移動銀行應用程式至少包含一箇中等風險安全漏洞，還有20%包含至少一個高風險漏洞。

Immuniweb執行長兼創始人伊利亞·科洛琴科（Ilia Kolochenko）最後表示，考慮到研究方法不具有侵入性，以及銀行機構可利用重要財政資源，研究結果表明金融機構有必要迅速修訂並加強其現有的應用程式安全方法。