Cymetrics评监 台湾在线教育平台业者网安曝险

【2022年7月27日】 专业网安检测品牌Cymetrics发布台湾在线教育业网安曝险调查报告，针对15家知名在线教育平台业者的外在网安曝险情形进行评级与分析。疫情加速在线学习发展，许多在线教育平台也因应疫情，增添更多丰富课程，以提供不同消费者的需求；除了针对B2C的消费者，也提供B2B的企业端数码培训课程，其业者针对个资、金流及终端应用保护等层面更须留意。

因此Cymetrics利用其曝险评估即服务 (Exposure Assessment as a Service；EAS)，评级并分析台湾前15大在线教育平台的外在网安曝险情形，以协助业者了解自身的网安状况，改善其可能存在之外在曝险，其中大多数业者的网站问题出于相关套件与应用的错误设定，或未更新至安全的版本等常见的弱点，半数业者疏于管理电子邮件安全，两成业者甚至发生帐号口令外泄事件，包含AmazingTalker、PressPlay及TutorABC。

根据美国研究机构 HolonIQ指出，2025年全球教育市场规模将达7.3万亿美元，而数码内容及在线教育市场，相较2020年，到了2025年也预估将呈2倍以上的成长。全球教育市场与疫情冲击的关联性甚高，许多学校因着疫情而迫使停课，进而转往在线授课，教育结合科技的应用已成为趋势，全球教育科技预算支出预估至2025年上看4,040亿美元，成为后疫情中受到市场高度关注的领域产业。

因此，在线教育平台业者拥有的客户数据规模、金流及商誉价值，必然是攻击者普遍关注且认为有利可图的目标，而业者在试图建立企业防御架构前，建议先盘点自身企业必需要防御的范围，进而标定可能被视为相对弱点而蒙受攻击的部分。

专注于网安检测的Cymetrics团队，透过自身研发的非侵入式曝险评估及服务(EAS)，针对台湾前15大在线教育平台业者网域做检测，包括网络服务、网站、电子邮件、帐号口令与云端安全面向，并加入最新的Log4j以及DNS takeover等相关测试项目。

此次报告于发布前皆提供所提及的15家在线教育平台业者参看，其中VoiceTube业者积极回复，并将其外在曝险立即改善，也因此总评级大幅提升。

其重点结果包含：
1. 网络服务：80%以上的台湾在线教育业者皆有控管对外服务，网安评级平均落在A以上的等级，即从外部的角度蒐集不到数据，很难针对业者的对外服务进行数据蒐集及攻击尝试。然而仍有其中一名业者的SMB服务、FTP服务等是直接对外公开且并未采取妥善的管理政策，该业者在该项分数也直接落入F(Failed)的程度。

2. 网站：台湾在线教育业者网安评级平均落在B～C-，也就是有外部曝险面上的弱点，可能因此成为攻击者攻击链的一环。多数业者的问题来自网站相关套件与应用的错误设定，或未更新至安全的版本等常见的弱点，将可能导致攻击者易于透过cookie、伪冒凭证或是透过简—易的跨站攻击绕／通过网站的安全性验证，甚至取得管理者权限或学员数据。

3. 电子邮件：台湾在线教育业者之间的落差较大，网安评级分别落在A～D，有半数的业者并未妥善管理电子邮件的安全，其中多数未进行DMARC与SPF的正确设定，将可能导致攻击者透过业者的相同邮件网域，发送恶意邮件给民众与员工，他们因而可能遭受社交工程，导致数据外泄的情形发生。

4. 帐号口令：台湾在线教育业者网安评级较为两极，主要集中于A+及C，其中有3家业者已发生帐号口令外泄，包含员工个人的帐号以及系统，或是对外服务所使用的公用帐号，同时曾发生帐号口令外泄的业者中，都出现外泄多组的帐号口令，将让攻击者可以精准锁定目标，执行钓鱼或直接渗透各项系统。

5. 云端安全：台湾在线教育业者评级分数皆为A+ 以上，仅有一名业者在使用AWS S3云端储存服务时并未参照正确的设定完善相关保护措施，多数的在线教育业者透过公有云的服务来建构自己的在线服务体系，因此妥善且安全的运用云端资源是必要的投入。

完整Cymetrics台湾15大在线教育平台业者网安曝险调查报告，请按此至Cymetrics官网下载或来信至ask@cymetrics.io。