חולשות אבטחה חמורות שהתגלו במערכת הלמידה מרחוק הגדולה בישראל, "אופק", אפשרו לקבל גישה לפרטים אישיים על תלמידים, בהם כתובת, מספר טלפון, אימייל ומספר תעודת זהות, גישה לפרטים אישיים של מורים, גישה לציוני תלמידים תוך יכולת לשנות אותם וגישה לשינוי סיסמאות המשתמשים במערכת.
חברת אבטחת הסייבר הישראלית צ'ק פוינט איתרה את החולשות ודיווחה עליהן למערך הסייבר הלאומי לפני כשבוע וחצי. מערך הסייבר פעל מול משרד החינוך וחברת מט"ח, שפיתחה את המערכת.
לפי צ'ק פוינט, מט"ח פעלה לתיקון החולשות במהירות, ונדרשו מספר ניסיונות עד שהחולשות תוקנו. החולשה אותרה על-ידי החוקרים דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה.
מערכת "אופק" של חברת מט"ח נמצאת בשימוש של מאות אלפי תלמידים בבתי הספר היסודיים והעל-יסודיים בישראל מזה מספר שנים. בחודש האחרון, בעקבות התפרצות מגפת הקורונה, חלק ניכר מהלמידה במדינת ישראל עברה למערכות למידה מרחוק, בהן מערכת אופק, בה המורים יכולים להעביר מטלות לתלמידים, להתכתב איתם ולתת ציונים.
לפי ההערכות, סביר שנעשה שימוש בחולשות האבטחה שנמצאות במהלך התקופה שעד לאיתורן ותיקונן, כיוון שמדובר בחולשות שפשוט לנצל, אך קשה לאתר מקרים של ניצולן.
חולשות האבטחה שהתגלו אפשרו, בין היתר, לבצע התקפה פשוטה של הזרקת קוד זדוני שמאפשר להשתלט על החשבון המותקף ולגשת לקבצים רגישים במערכת. המשמעות היא שהמערכת אפשרה למשתמשים בה להכניס שורות קוד בשדות טקסט וכך לשלוח קישור זדוני שמאפשר השתלטות על חשבון של משתמש אחר שלוחץ עליו. כך ניתן היה להשתלט על חשבונות של מורים, להם יש הרשאות לשינוי ציונים, צפייה בפרטי משתמשים וכן עריכת קבצים במערכת.
"הפירצה שהתגלתה באתר אופק תוקנה במהרה, ויצוין כי לא זוהתה שום מתקפה זדונית", נמסר מטעם מט"ח בהודעה על גילוי החולשות. "תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים, וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על-מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".
תקופת הקורונה בה לימודים ועבודה עוברים להתבצע מרחוק במערכות מקוונות, מובילה לכך שיותר ויותר פירצות מנוצלות על-מנת להגיע למידע רגיש. בשבוע שעבר פרסמה צ'ק פוינט מחקר שביצעה, במסגרתו נחשפו חולשות אבטחה דומות בשלוש מערכות הלמידה מרחוק הפופולריות בעולם: LearnPress, LearnDash ו-LifterLMS. מערכות אלה נמצאות בשימוש גם בישראל, בעסקים, בארגונים ובמוסדות לימוד שאינם משתמשים במערכות משרד החינוך. למשל, עבור סמינרים של חברות לעובדיהן או עבור קורסים שונים.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.