【台湾在线教育平台业者资安态势 网站、电邮及帐密为主要曝险】
是方合作伙伴Cymetrics 发布台湾在线教育业资安曝险调查报告,针对15 家知名在线教育平台业者的外在资安曝险情形进行评级与分析。疫情加速在线学习发展,许多在线教育平台也因应疫情,增添更多丰富课程,以提供不同消费者的需求; 除了针对B2C的消费者,也提供B2B的企业端数字培训课程,其业者针对个资、金流及终端应用保护等层面更须留意。因此利用 Cymetrics EAS曝险评估服务 (Exposure Assessment as a Service)来评级并分析台湾前15大在线教育平台的外在资安曝险情形,以协助业者了解自身的资安状况,改善其可能存在之外在曝险,其中大多数业者的网站问题出于相关套件与应用的错误设定,或未更新至安全的版本等常见的弱点,半数业者疏于管理电子邮件安全,两成业者甚至发生账号密码外泄事件,包含AmazingTalker、PressPlay及TutorABC。
根据美国研究机构 HolonIQ 指出,2025 年全球教育市场规模将达 7.3 兆美元,而数字内容及在线教育市场,相较2020 年,到了 2025 年也预估将呈 2 倍以上的成长。全球教育市场与疫情冲击的关联性甚高,许多学校因着疫情而迫使停课,进而转往在线授课,教育结合科技的应用已成为趋势,全球教育科技预算支出预估至 2025 年上看 4,040 亿美元,成为后疫情中受到市场高度关注的领域产业。因此,在线教育平台业者拥有的客户数据规模、金流及商誉价值,必然是攻击者普遍关注且认为有利可图的目标,而业者在试图建立企业防御架构前,建议先盘点自身企业必须要防御的范围,进而标定可能被视为相对弱点而蒙受攻击的部分。
专注于资安检测的Cymetrics团队,透过自身研发的非侵入式曝险评估及服务(EAS),针对台湾前 15 大在线教育平台业者网域做检测,包括网络服务、网站、电子邮件、账号密码与云端安全面向,并加入最新的Log4j以及DNS takeover等相关测试项目。此次报告于发布前皆提供所提及的15家在线教育平台业者参看,其中VoiceTube业者积极回复,并将其外在曝险立即改善,也因此总评级大幅提升。
其重点结果包含:
(1) 网络服务:80% 以上的台湾在线教育业者皆有控管对外服务,资安评级平均落在 A 以上的等级,即从外部的角度搜集不到资料,很难针对业者的对外服务进行资料搜集及攻击尝试。然而仍有其中一名业者的 SMB服务、FTP服务等是直接对外公开且并未采取妥善的管理政策,该业者在该项分数也直接落入F (Failed) 的程度。
(2) 网站:台湾在线教育业者资安评级平均落在 B~ C- ,也就是有外部曝险面上的弱点,可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定,或未更新至安全的版本等常见的弱点,将可能导致攻击者易于透过cookie、伪冒凭证或是透过简易的跨站攻击绕/通过网站的安全性验证,甚至取得管理者权限或学员数据。
(3) 电子邮件:台湾在线教育业者之间的落差较大,资安评级分别落在 A~D,有半数的业者并未妥善管理电子邮件的安全,其中多数未进行DMARC与SPF的正确设定,将可能导致攻击者透过业者的相同邮件网域,发送恶意邮件给民众与员工,他们因而可能遭受社交工程,导致数据外泄的情形发生。
(4) 账号密码:台湾在线教育业者资安评级较为两极,主要集中于 A+ 及 C,其中有三家业者已发生账号密码外泄,包含员工个人的账号以及系统,或是对外服务所使用的公用账号,同时曾发生账号密码外泄的业者中,都出现外泄多组的账号密码,将让攻击者可以精准锁定目标,执行钓鱼或直接渗透各项系统。
(5) 云端安全:台湾在线教育业者评级分数皆为 A+ 以上,仅有一名业者在使用 AWS S3 云端储存服务时并未参照正确的设定完善相关保护措施,多数的在线教育业者透过公有云的服务来建构自己的在线服务体系,因此妥善且安全的运用云端资源是必要的投入。