安全测试组织ImmuniWeb此前公布了一项全世界大型金融企业安全测评汇报。汇报指明，就手机应用程序安全、个人隐私保护和合规来讲，这些大型金融企业的安全情况令人堪忧。全世界83%的大型金融企业容易受到网络和手机移动进攻，在SSL加锁和网站安全方面仅有四家组织得到A+的点评。

这三家组织各自为瑞士信贷（Credit Suisse）、荷兰丹斯克银行（Danske Bank）和瑞典Handelsbanken银行。ImmuniWeb在这三家金融企业的主要网站上没有发现所有系统漏洞或配备有误。然而，还在六家金融企业因“发现存在可被利用的公布网络安全问题”而无法通过检验。



在ImmuniWeb进行的测评中，现有40家组织的点评结果为A，20家组织为B，还在34家组织评为C。A表示被发现的安全隐患“无足轻重”或“愈发不够”；B代表发现一些小问题或者未发现任何的安全加强问题；而C则表示网站上带网络安全问题或多个严重的有误配备。

在电子银行方面，得到A+点评的组织略多一点，达到15家；A为27家；B为13家；C为40家。另外还在7家组织得到F点评，表示被发现存在可利用的公布网络安全问题。 就主网站的SSL/TLS加锁安全级别来讲，得到A+点评的金融企业逐步提高，但也有无法通过检验的组织。

其中，现有30家金融企业得到A+点评，A为38家；B为7家；仅有一间金融企业得到C点评，但也有13家金融企业没有选用加锁，或者被发现存在可利用的网络安全问题而无法通过检验。电子银行网络应用程序的SSL/TLS加锁整体表現好些一些，现有26家金融企业得到最多的A+点评，仅有俩家金融企业无法通过检验。 另外，只有38家金融企业通过《通用性数据保护规章》（GDPR）主站合规检测，现有2081个子域名未通过检测。

电子器件银行网站通过GDPR合规检测的仅有17家组织。 Immuniweb泄露，每个网站均值含有两个不同的web软件模块，Js库、框架结构或其他三方编码。多大26一个网站含有最少一个公布公布的适中或高危的未修复网络安全问题。在探讨过程中检验到的最初的未打补丁的系统漏洞是jQuery 1.6.1版本号中的CVE-2013-4969，这个系统漏洞最开始在2013年被发现。ImmuniWeb表示，最常见的网站系统漏洞是XSS（跨站名脚本，OWASP A7）、敏感数据泄露（OWASP A3）和安全有误配备（OWASP A6）。

然而，到期模块在子域名更加槽糕：79%的子域名带有到期模块，2%的子域名存在已被公布公布而且可被利用的中、高危系统漏洞。 ImmuniWeb表示，该组织所调查统计的银行都存在网络安全问题或与被弃用的子域名有关的问题。 该组织还对网络钓鱼攻击进行检验，探讨发现在26起快速增长的网络钓鱼活动中，大部分恶意网站都会美国代管，其中美国银行的用户受到的进攻数次最多，达到8次，富国银行和摩根大通次之，各自为7次和3次。在检验中，摩根大通一共有受到227次网络钓鱼攻击。

调查统计还扩展到手机移动银行手机应用程序，ImmuniWeb表示，有56家银行容许网络访问灵敏的银行数据。这些手机移动手机应用程序一共与298个后端开发API进行通讯，为了从各有的银行发送到或接收数据。 Immuniweb坦言这些发现“让人相当于顾虑”。汇报指明所有的手机移动银行手机应用程序最少含有一个低风险性网络安全问题，93%手机移动银行手机应用程序最少含有一个适中风险性网络安全问题，还在20%含有最少一个高危系统漏洞。

Immuniweb首席运营官兼ceo伊利亚·科洛琴科（Ilia Kolochenko）最后表示，考虑研究法不具有侵扰性，以及银行组织可利用重要民政资源，探讨可重复性金融企业必须快速颁布并提高其共有的手机应用程序安全方法。