E-learning w polskich szkołach jest narażony na ataki hakerów i „uczniów”

6 maja, 2020

Pandemia spowodowana przez koronawirusa zmusza studentów, uczniów i pracowników do nauki oraz odbywania szkoleń w domu, za pośrednictwem platform e-learningowych. Okazuje się, że nie zawsze są one bezpieczne. Zespół Check Point Research poinformował, że odkrył luki w najczęściej używanych wtyczkach wspomagających naukę online, wykorzystywanych w ponad 100 tys. platform edukacyjnych na całym świecie.

Odkryte zagrożenia znajdują się w popularnej platformie WordPress w pluginach programów LearnPress, LearnDash oraz LifterLMS. Umożliwiają nieuwierzytelnionym użytkownikom kradzież danych osobowych, uzyskiwanie uprawnień nauczycieli, a w niektórych przypadkach wyprowadzenie środków pieniężnych. Łącznie zagrożenie dotyczy około 100.000 różnych platform edukacyjnych, które wykorzystują LearnPress, LearnDash lub LifterLMS.

Z powodu epidemii koronawirusa, coraz więcej rzeczy wykonujemy z domu, włączając w to studiowanie i uczestniczenie w kursach. Uczniowie i pracownicy logujący się do witryn e-learningowych prawdopodobnie nie wiedzą, jakie niebezpieczeństwo może się za kryć. W naszych badaniach udowodniliśmy, że hakerzy mogą łatwo przejąć kontrolę nad całą platformą e-learningową.

– komentuje Omri Herscovici, kierownik działu wykrywania podatności w firmie Check Point.

Luki zostały wykryte w dwóch pierwszych tygodniach marca 2020 r. Analitycy przekazali błędy w zabezpieczeniach programistom każdego pluginu. Dla zachowania bezpieczeństwa organizacje wykorzystujące powyższe dodatki powinny zaktualizować je w CMS-ach platform e-learningowych.

Za co odpowiadają zagrożone wtyczki?

LearnPress. Wtyczka, która tworzy kursy z quizami i lekcjami. Używana w ponad 21 000 szkół.

LearnDash. Wtyczka zapewniająca narzędzia udostępniania zawartości, sprzedaży kursów, nagradzania i oceniania uczniów. Ponad 33 000 stron internetowych korzysta z LearnDash, w tym wiele z firm z listy Fortune 500, a także Uniwersytet Florydy, Uniwersytet Michigan i Uniwersytet w Waszyngtonie.

LifterLMS. Wtyczka zapewniająca przykładowe kursy, przykładowe quizy, certyfikaty oraz w pełni skonfigurowaną stronę internetową. Z tej wtyczki korzysta ponad 17 000 stron internetowych, w tym różne placówki szkolne i edukacyjne.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 1

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]