צ'ק פוינט: חולשות אבטחה חמורות במערכות הלמידה מרחוק

חולשות אבטחה חמורות מצויות בכמה ממערכות הלמידה מרחוק הגדולות בעולם – כך לפי מחקר חדש של צ'ק פוינט, שפורסם היום (ה').

חוקרי ענקית הגנת הסייבר הישראלית בחנו את המערכות המובילות לניהול לימודים מרחוק, שמותקנות על גבי פלטפורמות וורדפרס. שלוש המערכות הגדולות ביותר הן LearnPress ,LearnDash ו-LifterLMS.

הקורונה גרמה למוסדות חינוך ברחבי העולם לעבור באופן מוחלט ללמידה מרחוק. המערכות הללו נמצאות בשימוש על ידי יותר מ-100 אלף מוסדות חינוך וחברות מובילות, כולל בישראל, ובחישוב זהיר מדובר בעשרות מיליוני משתמשים לכל הפחות. בישראל, הן מותקנות בכמחצית מכלל השוק שמציע לימודים מרחוק, קרי – מאות אתרים של מכללות מקוונות, לשכות רשמיות, איגודים מקצועיים, אתרי הכשרה ומידע.

בצ'ק פוינט אומרים שחולשות מאפשרות לגנוב מידע אישי של המשתמשים בפלטפורמות – סטודנטים, או עובדים, לבצע הונאות אשראי, וכן להשתמש בכלים בהם משתמשים המרצים – לצורך שינוי ציונים, העלאת תכנים, התחזות למרצים ועוד.

החולשות תוקנו לאחר שחוקרי החברה פנו למערכות הללו, אולם ציינו כי רק עדכון גרסה יאפשר להיות מוגן מהחולשות. הם התריעו כי החברות והמוסדות שמשתמשים בהן לא יטמיעו את העדכון האחרון של התוכנות חושפות את כל משתמשי הקצה למתקפות.

בבלוג החברה נכתב כי "מדובר במאגרים גדולים של תכנים חינוכיים ומקצועיים, המאפשרים לכל משתמש להיכנס אליהן, עם שם משתמש וסיסמה – ולבחור אילו תכנים לצרוך. בתקופת הקורונה, מערכות מסוג זה הפכו לכלי המרכזי ללימוד של מוסדות אקדמיים ובתי ספר שתלמידיהם לא יכולים להגיע לקמפוסים, ודרכן מועברים שיעורים, מטלות, בחינות וקביעת ציונים. כמו כן, חברות גדולות משתמשות בהן לרכישת ידע מקצועי דרך קורסים מקוונים, כולל קורסי תעודה".

המערכות המדוברות

LearnPress הוא תוסף לניהול מערכות הלימודים הנפוץ ביותר, שמאפשר למנהלי האתר לייצר ולמכור קורסים בקלות ולייצר שיעורים מבוססי סילבוס מסודר. הוא מצוי בשימוש של יותר מ-21 אלף מוסדות חינוך עם למעלה מ-80 אלף התקנות באתרים בעולם.

LearnDash הוא תוסף מוביל למערכות לימודים, שמאפשר מכירת קורסים ותיגמול על צריכת תכנים. יותר מ-33 אלף גופים משתמשים בו, בהם חברות מרשימת הפורצ'ן 500 ואוניברסיטאות.

LifterLMS הוא תוסף מוביל למערכות לימודים, שמכיל קורסים, בחינות והכשרות תעודה. יותר מ-17 אלף גופים משתמשים בו.

החולשות שאותרו

החוקרים ציינו שהחולשות שאותרו במערכות השונות מאפשרות לסטודנטים ולגורמים בלתי מורשים להשיג מידע אישי רגיש אודות המשתמשים שלהן, ואף להשיג שליטה מלאה על המערכות ועל כלל השירותים המוצעים בהן. החולשות מאפשרות להאקרים לגנוב את המידע האישי של המשתמשים (שמות, אי מיילים, שמות משתמש וסיסמאות), לנצל את המערכת כדי להעביר כספים לחשבונות האישיים של התוקף, לשנות ציונים עבור עצמם, או אחרים, לזייף תעודות הכשרה, לרמות במבחנים או להידמות למורה או מנחה הקורס אל מול המשתמשים – וכך לקבל הרשאות גבוהות יותר למערכת.

כאמור, צ'ק פוינט פנתה לחברות שמפעילות את המערכות המדוברות וסייעה להן לתקן את החולשות באופן מלא, ועדכוני התוכנה האחרונים שלהן מכילים תיקונים לחולשות אלה.

לדברי עמרי הרשקוביץ, ראש צוות מחקר החולשות, שביצע את המחקר, "נגיף הקורונה גרם להעברת העבודה והלימודים לבתים. החיבור מרחוק למערכות שונות מייצר משטח תקיפה פוטנציאלי ואכן, הוכחנו כיצד האקרים יכלו לנצל את המערכות הפופולריות הללו לייצר מתקפות. המוסדות החינוכיים האקדמיים בעולם, לצד חברות רבות ומכוני הכשרה מקצועית, משתמשים במערכות האלה כדי לאפשר את הלימודים וההכשרות גם בתקופה זו. אלא שהחולשות שאותרו מוכיחות שמידע רגיש ויכולות חשובות יכולים היו להגיע לידיים הלא נכונות די בקלות. אנחנו קוראים לכל המוסדות החינוכיים והמקצועיים שמעודדים למידה מרחוק לוודא שהמערכות שבהן הם משתמשים מעודכנות בעדכוני האבטחה האחרונים, שכוללים תיקון של החולשות שמצאנו".