資安檢測品牌 Cymetrics 發表了台灣線上教育業資安曝險調查報告,針對 15 家知名線上教育平台業者的外在資安曝險情形進行評級與分析。
Cymetrics 利用其曝險評估即服務(EAS),評級並分析臺灣前 15 大線上教育平台的外在資安曝險情形。調查中發現,大多數業者的網站問題出於相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,半數業者疏於管理電子郵件安全,兩成業者甚至發生帳號密碼外洩事件,包含 AmazingTalker、PressPlay,以及 TutorABC。
根據美國研究機構 HolonIQ 指出,2025 年全球教育市場規模將達 7.3 兆美元,而數位內容及線上教育市場,相較 2020 年,到了 2025 年也預估將呈 2 倍以上的成長。全球教育市場與疫情衝擊的關聯性甚高,許多學校因著疫情而迫使停課,進而轉往線上授課,教育結合科技的應用已成為趨勢,全球教育科技預算支出預估至 2025 年上看 4,040 億美元,成為後疫情中受到市場高度關注的領域產業。
因此線上教育平台業者擁有的客戶資料規模、金流及商譽價值,必然是攻擊者普遍關注且認為有利可圖的目標,而業者在試圖建立企業防禦架構前,建議先盤點自身企業必須要防禦的範圍,進而標定可能被視為相對弱點而蒙受攻擊的部分。
這次的調查重點結果包含:
網路服務
80% 以上的台灣線上教育業者皆有控管對外服務,資安評級平均落在 A 以上的等級,即從外部的角度蒐集不到資料,很難針對業者的對外服務進行資料蒐集及攻擊嘗試。然而仍有其中一名業者的 SMB 服務、FTP 服務等是直接對外公開且並未採取妥善的管理政策,該業者在該項分數也直接落入F(Failed) 的程度。
網站
台灣線上教育業者資安評級平均落在 B~ C- ,也就是有外部曝險面上的弱點,可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定,或未更新至安全的版本等常見的弱點,將可能導致攻擊者易於透過 cookie、偽冒憑證或是透過簡易的跨站攻擊繞/通過網站的安全性驗證,甚至取得管理者權限或學員資料。
電子郵件
此一項目在台灣線上教育業者之間的落差較大,資安評級分別落在 A~D,有半數的業者並未妥善管理電子郵件的安全,其中多數未進行 DMARC 與 SPF 的正確設定,將可能導致攻擊者透過業者的相同郵件網域,發送惡意郵件給民眾與員工,他們因而可能遭受社交工程,導致資料外洩的情形發生。
帳號密碼
資安評級主要集中於 A+ 及 C,其中有三家業者已發生帳號密碼外洩,包含員工個人的帳號以及系統,或是對外服務所使用的公用帳號,同時曾發生帳號密碼外洩的業者中,都出現外洩多組的帳號密碼,將讓攻擊者可以精準鎖定目標,執行釣魚或直接滲透各項系統。
雲端安全
評級分數皆為 A+ 以上,僅有一名業者在使用 AWS S3 雲端儲存服務時並未參照正確的設定完善相關保護措施,多數的線上教育業者透過公有雲的服務來建構自己的線上服務體系,因此妥善且安全的運用雲端資源是必要的投入。
(首圖來源:pixabay)
精選專案.APP / 休閒餐飲類
網站技術:PHP . iOS . Android/MySql
勝博殿兌換推出APP版,讓使用者隨時使用APP確認點數、查詢門市...等等。可以隨時隨地的查詢目前使用多少點數。也可以在下次用餐時可以兌換餐點。
精選專案.網頁設計.RWD響應式網站 / 戶外旅遊類
網站技術:PHP . Javascript/MS-SQL
不論是個人、情侶、好友或是家庭想要安排一場獨一無二的旅遊!!趣吧有滿滿的夢幻行程可以滿足,機票、包車、住宿、票劵一次搞定;想要出國怕語言不通,也有專業達人協助。 讓你擁有一場難忘又滿足的旅遊。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql
丹醇用最新鮮的原料製作最安心的商品,追求吃進身體裡面的食物與飲品都是健康、安全、無負擔。 網站主打線上訂購乳製品,簡易的下定流程,對於第一次使用的會員也不是問題,也能配合指定的時間抵達喔。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策