פרצת אבטחה מאפשרת לראות נתונים אישיים של תלמידים
הפרצה, שגילה תלמיד תיכון, אפשרה לו לראות את מספרי תעודות הזהות, הציונים, האי-מיילים ועוד פרטים במערכת מידע של משרד החינוך ● הוא פנה לחברה שפיתחה את המערכת אולם בדיקה נוספת, שערך שבועיים לאחר מכן, העלתה שהפרצה טרם תוקנה
תלמיד תיכון מצא פרצת אבטחה במערכת לניהול מידע ובה פרטים אישיים על תלמידים, כולל ציונים, איחורים ומיילים – כך דווח אמש (א') בחדשות ערוץ 2. התלמיד מסר את הפרטים לחברה שפיתחה את המערכת.
מדובר במערכת WebTop שפיתחה Smart School, שמאפשרת להורים לשמור על קשר עם מורים ולקבל דיווח שוטף על ההתנהלות היומיומית של ילדיהם בבית הספר. היא בנויה כך שאם מישהו מנסה להיכנס אליה מספר פעמים עם שם משתמש שהוא לא שלו – הוא נחסם והניסיון מדווח לבית הספר.
אלא שהתיכוניסט, דן (שם בדוי), מצא פרצה שעוקפת את ההגנות ומבטלת את ההגבלה על מספר הניסיונות. כך, ניתן לראות ביתר קלות את הפרופילים האישיים של התלמידים, כולל תעודת זהות, שם, החיסורים שלו, איחורים, אי הבאת ציוד, הערות משמעת, אי-מיילים ועוד. המידע יכול לשמש למטרות רעות כמו סחיטה, איומים או הצקות של תלמידים.
כאמור, דן פנה עם הנתונים ל-Smart School, ומנכ"ל החברה הבטיח לו שהנושא יטופל עוד באותו היום. אלא שבניסיון נוסף שהוא ביצע אתמול, שבועיים אחרי התלונה הראשונה, הפרצה טרם תוקנה, לדבריו.
ממשרד החינוך נמסר כי "מערכת Smart School עברה בדיקת אבטחה קפדנית. יחד עם זאת, הפרצה המתוארת היא באפליקציה מסוימת של המערכת, שאושרה לשימוש בבתי הספר. הספק הונחה מיידית להגיש את האפליקציה לבדיקה ואישור, ולהימנע מהפעלתה בבתי ספר ללא אישור".
מ-Smart School נמסר כי "החברה משתמשת בכל אמצעי האבטחה האפשריים על מנת להגן על המערכות שלה. למיטב ידיעתנו, לא נעשתה כניסה בלתי מורשית למערכת. יחד עם זאת, נלמד את הפרטים ואם יש צורך, יופקו לקחים".
"החברה משתמשת בכל אמצעי האבטחה האפשריים על מנת להגן על המערכות שלה..." - יותר לאזרח הקטן לבדוק את טענה זו?!