
Das Web-Sicherheitsunternehmen ImmuniWeb hat den Stand der Web & Mobile Apps bei den bekanntesten und finanziell am besten ausgestatteten Fintech-Startups untersucht, die von CB Insights identifiziert wurden. Immuniweb hat herausgefunden, dass 98 der Top-100-Unternehmen anfällig für Phishing und Web- & Mobile Apps Angriffe sind.
Wichtigste Erkenntnisse: Sicherheit
ImmuniWeb führte verschiedene nicht-intrusive Sicherheits-, Datenschutz- und Compliance-Prüfungen durch, um potenzielle Sicherheitslücken auf den wichtigsten Webseiten und Subdomains der 100 Fintech-Startups zu identifizieren:
- 100% haben Sicherheits-, Datenschutz- und Compliance-Fehler im Zusammenhang mit aufgegebenen oder vergessenen Web Apps, APIs und Subdomaine.
- 8 Hauptwebseiten und 64 Subdomains weisen mindestens eine öffentlich gemeldete und ausnutzbare Sicherheitslücke mit mittlerem oder hohem Risiko auf.
- Die am häufigsten auftretenden Sicherheitslücken auf Webseiten waren XSS (Cross Site Scripting, OWASP A7), Sensitive Data Exposure (OWASP A3) und Security Misconfiguration (OWASP A6).
- Die älteste nicht gepatchte Sicherheitslücke ist CVE-2012-6708, die sich auf jQuery 1.7.2 auswirkt.
- 100% der mobilen Apps enthalten mindestens 1 Sicherheitslücke mit mittlerem Risiko, 97% haben mindestens 2 Sicherheitslücken mit mittlerem oder hohem Risiko.
- 56% der Backends für mobile Apps (REST / SOAP-APIs) weisen schwerwiegende Fehlkonfigurationen oder Datenschutzprobleme im Zusammenhang mit der SSL / TLS-Konfiguration und einer unzureichenden Absicherung der Webserversicherheit auf.
Wichtigste Erkenntnisse: Konformität
- 62% der Hauptwebseiten der Unternehmen haben den PCI-DSS-Konformitätstest nicht bestanden. Die Hauptursache war veraltete Open-Source- und kommerzielle Software und deren Komponenten (Anforderung 6.2).
- 64% der Hauptwebseiten der Unternehmen haben die GDPR-Bestimmungen ebenfalls nicht eingehalten. Nach anfälliger Web-Software ist der zweithäufigste Grund ein fehlender Cookie-Haftungsausschluss oder nicht gesetzte Sicherheitsflags in Cookies, die Tracking-, PII- oder andere vertrauliche Informationen übertragen. Die dritte Hauptursache ist fehlende oder unzugängliche Datenschutzrichtlinien.
Ilia Kolochenko, CEO und Gründer von ImmuniWeb, kommentierte:„Die Studie betont die zunehmenden Herausforderungen im Bereich Cybersicherheit, denen sich sowohl dynamische Fintech-Unternehmen als auch etablierte Finanzinstitute gegenübersehen. Auf den ersten Blick sieht es in der Fintech-Branche vergleichsweise besser aus. Wenn wir jedoch die Anzahl und Komplexität der verwalteten IT-Systeme pro Organisation in Beziehung setzen, kann die Schlussfolgerung zugunsten der Banken eindeutig abweichen. Trotzdem unterstreichen die Zahlen aus der Studie ein anständiges Maß an Cybersicherheit inmitten der Fintech-Unternehmen, was Engagement und Sorgfalt belegt.“
„Die Untersuchung zeigt ebenfalls, dass mangelnde Sichtbarkeit eines der am weitesten verbreiteten, nachteiligsten und manchmal fast unüberwindbaren Hindernisse für eine kohärente und ganzheitliche Informationssicherheit ist. Angesichts der zunehmenden Verbreitung von Cloud- und Containertechnologien, des Outsourcings geschäftskritischer Prozesse und des Datenaustauschs mit zahlreichen Drittanbietern wird die unvollständige Transparenz wahrscheinlich die Achillesferse der Informationssicherheit bleiben. “
Vollständige Recherche und Infografiken unter: https://www.immuniweb.com/blog/fintech-application-security.html
Fachartikel

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
