Online learning: ecco le falle nella sicurezza

L'online learning ha delle falle nella sicurezza, ecco quali
Ascolta l'articolo

I ricercatori di Check Point Software hanno individuato falle nella sicurezza dei plug-in più utilizzati per consentire l’apprendimento online

Dal momento che il coronavirus costringe gli studenti e i dipendenti a utilizzare le piattaforme di online learning, Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies ha analizzato i plug-in più utilizzati dalle migliori istituzioni accademiche e dalle aziende Fortune 500, trovando delle vulnerabilità.

I ricercatori di Check Point Software hanno individuato falle nella sicurezza dei plug-in più utilizzati per consentire l’apprendimento online. Poiché la pandemia di coronavirus costringe le persone a rimanere nelle proprie case, le maggiori istituzioni accademiche e le aziende Fortune 500 si affidano ai sistemi di gestione dell’apprendimento (Learning Management System – LMS) per condurre lezioni virtuali senza che studenti o dipendenti entrino in un’aula fisica. Check Point Research ha scoperto falle nella sicurezza di tre plug-in WordPress, denominati LearnPress, LearnDash e LifterLMS. Le vulnerabilità consentono agli studenti, così come agli utenti non autenticati, di rubare informazioni personali, sottrarre denaro e/o ottenere funzioni riservate gli insegnanti.

Cos’è un Learning management System?

Si pensi a un sistema di gestione dell’apprendimento (LMS) come a un vasto archivio in cui è possibile conservare e tracciare le informazioni didattiche. Chiunque abbia un login e una password può accedere a queste risorse di formazione online quando e dove vuole. L’uso più comune per il LMS è quello di implementare e monitorare le iniziative di formazione online. In genere, le risorse vengono caricate su LMS, rendendole facilmente accessibili agli studenti in remoto. Dal momento che milioni di persone si collegano ai corsi online da casa, a causa del coronavirus, le istituzioni accademiche e i datori di lavoro utilizzano i LMS per creare virtualmente le classi, condividere il lavoro dei corsi, iscrivere gli studenti e valutare gli studenti con degli esami.

Leggi anche:  Check Point annuncia la nuova suite Fast Track Network Security

Scoperte: falle nella sicurezza dei plug-in di WordPress

Le falle nella sicurezza sono state trovate in LearnPress, LearnDash e LifterLMS. Questi tre plug-in possono trasformare qualsiasi sito web WordPress in un LMS completamente funzionante e facile da usare. I tre plug-in sono utilizzati dalle aziende Fortune 500 e da alcune delle maggiori università del mondo, tra cui l’Università della Florida, l’Università del Michigan, l’Università di Washington, e sono installati su circa 100.000 piattaforme di apprendimento diverse.

Ogni plug-in è descritto nel dettaglio di seguito:

– LearnPress: plug-in che crea corsi con quiz e lezioni mentre gli studenti progrediscono nel programma scolastico. Utilizzato in oltre 21.000 scuole, vanta 80.000 installazioni.

– LearnDash: plug-in che fornisce strumenti per il content dripping, per vendere corsi, per premiare gli studenti e per attivare trigger basati su azioni. Oltre 33.000 siti web utilizzano LearnDash, tra cui molti presenti nella Fortune 500, così come l’Università della Florida, l’Università del Michigan e l’Università di Washington.

– LifterLMS: plug-in che fornisce esempi di corsi, esempi di quiz, certificati e un sito web completamente configurato. Oltre 17.000 siti web utilizzano questo plug-in, tra cui agenzie e formatori di WordPress, insieme a vari istituti scolastici ed educativi.

Cambiare i voti. Falsificare i certificati. Aggirare il sistema LMS

Queste vulnerabilità consentono agli studenti, così come agli utenti non autenticati, di ottenere informazioni sensibili e/o di prendere il controllo dell’intera piattaforma di eLearning. In particolare, una persona potrebbe sfruttare la falla nella sicurezza per:

– Rubare informazioni personali: nomi, e-mail, nomi utente e password

– Dirottare denaro da un LMS ai propri conti bancari

– Cambiare i voti per sé stessi

Leggi anche:  Orange Business Services sceglie Fortinet Secure SD-WAN

– Cambiare i voti per altri

– Falsificare i certificati

– Ottenere le risposte del test

– Ottenere i privilegi riservati a un insegnante

Comunicazione Responsabile

Le vulnerabilità sono state rilevate nell’arco di due settimane nel corso del mese di marzo 2020. I ricercatori di Check Point Software hanno comunicato in modo responsabile ciascuna delle vulnerabilità ai rispettivi sviluppatori. Tutti e tre i sistemi hanno sviluppato una patch per le vulnerabilità, a cui sono stati assegnati CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 e CVE-2020-6011.

Check Point Vulnerability Research Team Leader, Omri Herscovici: “A causa del coronavirus, stiamo facendo tutto da casa, compresa la formazione. Gli studenti e i dipendenti che si collegano ai siti di eLearning probabilmente non sanno quanto possa essere pericoloso. Abbiamo dimostrato che gli hacker possono facilmente prendere il controllo dell’intera piattaforma di eLearning. Le maggiori istituzioni educative, così come molte scuole online, si affidano ai sistemi che abbiamo studiato per gestire i loro corsi online e i programmi di formazione. Le vulnerabilità rilevate consentono agli studenti, e talvolta anche agli utenti non autenticati, di ottenere informazioni sensibili o di prendere il controllo delle piattaforme LMS. Esortiamo tutti gli istituti di formazione ad aggiornare le proprie piattaforme alle ultime versioni disponibili.”