Cymetrics評鑑 台灣線上教育平台業者資安曝險

【2022年7月27日】 專業資安檢測品牌Cymetrics發布台灣線上教育業資安曝險調查報告，針對15家知名線上教育平台業者的外在資安曝險情形進行評級與分析。疫情加速線上學習發展，許多線上教育平台也因應疫情，增添更多豐富課程，以提供不同消費者的需求；除了針對B2C的消費者，也提供B2B的企業端數位培訓課程，其業者針對個資、金流及終端應用保護等層面更須留意。

因此Cymetrics利用其曝險評估即服務 (Exposure Assessment as a Service；EAS)，評級並分析台灣前15大線上教育平台的外在資安曝險情形，以協助業者了解自身的資安狀況，改善其可能存在之外在曝險，其中大多數業者的網站問題出於相關套件與應用的錯誤設定，或未更新至安全的版本等常見的弱點，半數業者疏於管理電子郵件安全，兩成業者甚至發生帳號密碼外洩事件，包含AmazingTalker、PressPlay及TutorABC。

根據美國研究機構 HolonIQ指出，2025年全球教育市場規模將達7.3兆美元，而數位內容及線上教育市場，相較2020年，到了2025年也預估將呈2倍以上的成長。全球教育市場與疫情衝擊的關聯性甚高，許多學校因著疫情而迫使停課，進而轉往線上授課，教育結合科技的應用已成為趨勢，全球教育科技預算支出預估至2025年上看4,040億美元，成為後疫情中受到市場高度關注的領域產業。

因此，線上教育平台業者擁有的客戶資料規模、金流及商譽價值，必然是攻擊者普遍關注且認為有利可圖的目標，而業者在試圖建立企業防禦架構前，建議先盤點自身企業必需要防禦的範圍，進而標定可能被視為相對弱點而蒙受攻擊的部分。

專注於資安檢測的Cymetrics團隊，透過自身研發的非侵入式曝險評估及服務(EAS)，針對台灣前15大線上教育平台業者網域做檢測，包括網路服務、網站、電子郵件、帳號密碼與雲端安全面向，並加入最新的Log4j以及DNS takeover等相關測試項目。

此次報告於發布前皆提供所提及的15家線上教育平台業者參看，其中VoiceTube業者積極回復，並將其外在曝險立即改善，也因此總評級大幅提升。

其重點結果包含：
1. 網路服務：80%以上的台灣線上教育業者皆有控管對外服務，資安評級平均落在A以上的等級，即從外部的角度蒐集不到資料，很難針對業者的對外服務進行資料蒐集及攻擊嘗試。然而仍有其中一名業者的SMB服務、FTP服務等是直接對外公開且並未採取妥善的管理政策，該業者在該項分數也直接落入F(Failed)的程度。

2. 網站：台灣線上教育業者資安評級平均落在B～C-，也就是有外部曝險面上的弱點，可能因此成為攻擊者攻擊鏈的一環。多數業者的問題來自網站相關套件與應用的錯誤設定，或未更新至安全的版本等常見的弱點，將可能導致攻擊者易於透過cookie、偽冒憑證或是透過簡—易的跨站攻擊繞／通過網站的安全性驗證，甚至取得管理者權限或學員資料。

3. 電子郵件：台灣線上教育業者之間的落差較大，資安評級分別落在A～D，有半數的業者並未妥善管理電子郵件的安全，其中多數未進行DMARC與SPF的正確設定，將可能導致攻擊者透過業者的相同郵件網域，發送惡意郵件給民眾與員工，他們因而可能遭受社交工程，導致資料外洩的情形發生。

4. 帳號密碼：台灣線上教育業者資安評級較為兩極，主要集中於A+及C，其中有3家業者已發生帳號密碼外洩，包含員工個人的帳號以及系統，或是對外服務所使用的公用帳號，同時曾發生帳號密碼外洩的業者中，都出現外洩多組的帳號密碼，將讓攻擊者可以精準鎖定目標，執行釣魚或直接滲透各項系統。

5. 雲端安全：台灣線上教育業者評級分數皆為A+ 以上，僅有一名業者在使用AWS S3雲端儲存服務時並未參照正確的設定完善相關保護措施，多數的線上教育業者透過公有雲的服務來建構自己的線上服務體系，因此妥善且安全的運用雲端資源是必要的投入。

完整Cymetrics台灣15大線上教育平台業者資安曝險調查報告，請按此至Cymetrics官網下載或來信至ask@cymetrics.io。