前往主要內容
工商時報LOGO

線上教育平台資安評鑑 Cymetrics指3大曝險點

  • 工商時報 鄭啟明
專業資安檢測品牌Cymetrics發布臺灣線上教育業資安曝險調查報告,針對15 家知名線上教育平台業者的外在資安曝險情形。
專業資安檢測品牌Cymetrics發布臺灣線上教育業資安曝險調查報告,針對15 家知名線上教育平台業者的外在資安曝險情形。

已將目前網頁的網址複製到您的剪貼簿!

Cymetrics評鑑臺灣線上教育平台業者資安態勢,點出網站、電郵及帳密為主要曝險。

專業資安檢測品牌Cymetrics發布臺灣線上教育業資安曝險調查報告,針對15 家知名線上教育平台業者的外在資安曝險情形進行評級與分析。疫情加速線上學習發展,許多線上教育平台也增添更多豐富課程,除了針對B2C的消費者,也提供B2B的企業端數位培訓課程,其業者針對個資、金流及終端應用保護等層面更須留意。因此Cymetrics利用其曝險評估即服務 (Exposure Assessment as a Service,EAS),分析臺灣前15大線上教育平台的外在資安曝險,協助業者了解資安狀況並依序改善,其中大多數業者的網站問題出於相關套件與應用的錯誤設定,半數業者疏於管理電子郵件安全,兩成業者甚至發生帳號密碼外洩事件,包含AmazingTalker、PressPlay及TutorABC。

全球教育市場與疫情衝擊的關聯性甚高,許多學校轉往線上授課,教育結合科技的應用已成為趨勢,全球教育科技預算支出預估至

2025 年上看

4,040 億美元,成為後疫情中市場高度關注的領域產業。因此,線上教育平台業者擁有的客戶資料規模、金流及商譽價值,必然是攻擊者普遍關注且認為有利可圖的目標。

專注於資安檢測的Cymetrics團隊,透過非侵入式曝險評估及服務(EAS),針對臺灣前 15 大線上教育平台業者網域做檢測,包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向,並加入最新的Log4j以及DNS takeover等相關測試項目。此報告於發布前皆提供所提及的15家線上教育平台業者參看,其中VoiceTube業者積極回復,並將其外在曝險立即改善,也因此總評級大幅提升。

 臺灣15 家知名線上教育平台的外在資安曝險情形。完整資安曝險調查報告,請至Cymetrics官網下載。
臺灣15 家知名線上教育平台的外在資安曝險情形。完整資安曝險調查報告,請至Cymetrics官網下載。

其重點結果包含:

網路服務:80% 以上的臺灣線上教育業者皆有控管對外服務,資安評級平均落在 A 以上的等級。然而仍有其中一名業者的 SMB服務、FTP服務等是直接對外公開且並未採取妥善的管理政策,該業者在該項分數也直接落入F (Failed) 的程度。

網站:臺灣線上教育業者資安評級平均落在 B~ C- ,也就是有外部曝險面上的弱點,可能成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,將可能導致攻擊者易於透過cookie、偽冒憑證或是透過簡易的跨站攻擊繞/通過網站的安全性驗證,甚至取得管理者權限或學員資料。

電子郵件:臺灣線上教育業者之間的落差較大,資安評級分別落在 A~D,有半數的業者並未妥善管理電子郵件的安全,其中多數未進行DMARC與SPF的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民眾與員工,他們因而可能遭受社交工程,導致資料外洩的情形發生。

帳號密碼:臺灣線上教育業者資安評級較為兩極,主要集中於 A+ 及 C,其中有三家業者已發生帳號密碼外洩,包含員工個人的帳號以及系統,或是對外服務所使用的公用帳號,將讓攻擊者可以精準鎖定目標,執行釣魚或直接滲透各項系統。

雲端安全:臺灣線上教育業者評級分數皆為 A+ 以上,僅有一名業者在使用 AWS S3 雲端儲存服務時並未參照正確的設定完善相關保護措施,多數的線上教育業者透過公有雲的服務來建構自己的線上服務體系,因此妥善且安全的運用雲端資源是必要的投入。

您可能感興趣的話題

返回頁首
LOADING

本網頁已閒置超過3分鐘。請點撃框外背景,或右側關閉按鈕(X),即可回到網頁。