您的网站是否正在泄露敏感数据?最新研究显示,45%的第三方应用在未经适当授权情况下访问用户信息,零售行业53%的风险暴露源于追踪工具的过度使用。
网络暴露管理专家Reflectiz的最新研究揭示了令人震惊的行业现状:众多企业在网站安全管理上存在严重疏漏,正在无谓地增加自身的网络风险敞口。
该研究基于对各行业访问量前100名网站的数据分析,暴露出第三方应用滥用权限、追踪技术失控等普遍问题。
研究中最具警示性的发现是:45%的第三方应用存在无正当理由访问用户敏感信息的行为。这些应用虽然为网站运营提供必要支持,但多数并不需要获取用户隐私及财务数据。以"最小必要"原则限制应用权限,应成为企业的基础安全策略。
从行业分布来看,娱乐和在线零售领域尤为突出。研究建议这些企业立即开展权限审计,重点核查非必要数据访问行为,以及由此增加的网站暴露风险。
由Gartner提出的"网络暴露"概念正是指这种由第三方应用、CDN仓库和开源工具构成的复合风险——每个接入组件都会增加攻击面,成为潜在的攻击目标,而多数企业对此缺乏有效监控。
应用流行度悖论
研究还发现一个反常识现象:流行应用未必更安全。虽然用户基数大的应用通常经过更严格的安全检验,但该结论仅适用于成熟产品。
数据显示,休闲酒店业平均集成了两个以上个冷门应用,而在线零售和娱乐业约集成一个。这些缺乏社区监督的应用一旦存在漏洞,极易成为攻击跳板。
研究特别指出追踪技术的安全隐患,即使是成熟的第三方应用也可能增加组织的网站暴露风险,尤其是跟踪应用。以Facebook和TikTok像素代码为例,配置不当会导致用户隐私泄露。
不过有趣的是,部署的跟踪器或像素的绝对数量并不一定能揭示全貌。出版行业网站平均部署12个追踪器,表面看来风险是医疗网站(6个)的两倍,但实际威胁需结合部署场景综合评估。
从数据来看,34%的营销部门会在支付页面违规植入追踪像素。相较于静态页面,支付场景一旦被恶意篡改,可直接窃取用户金融信息。因此,出版企业若要降低风险,必须重点加强营销部门的合规培训。
研究还发现多个行业特有问题:娱乐网站遭受恶意攻击的频率是金融网站的两倍,教育行业过度依赖公共CDN导致高风险。
这些差异表明,企业必须建立定制化的安全策略。在动态变化的风险环境中,企业需要持续监测第三方生态,建立基于场景的风险评估体系。
原文始发于微信公众号(FreeBuf):2025网络暴露危机报告:45%第三方应用越权访问用户数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论