שלום כיתה א': חולשות אבטחה חמורות במערכת הלימוד אופק
החולשות, שאותן מצאה צ'ק פוינט, אפשרה להאקרים גישה לפרטים אישיים של מורים ותלמידים, ולציונים שלהם ● הן דווחו למערך הסייבר, למשרד החינוך ולמטח, שפיתחה את המערכת, ולא אותרה כל מתקפה
חולשות אבטחה חמורות התגלו באופק, מערכת הלימוד מרחוק המשמשת את תלמידי המדינה בימים אלה של משבר הקורונה והשבתת מערכת החינוך. את החולשות גילו חוקרי אבטחת המידע של צ'ק פוינט דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה, והחברה פרסמה את דבר הימצאן הבוקר (ב').
אופק היא המערכת הדיגיטלית הגדולה ביותר לבתי הספר בישראל, המשמשת ללמידה מרחוק לכיתות בבתי הספר היסודיים והעל יסודיים.
אנשי ענקית אבטחת המידע הישראלית דיווחו על חולשות האבטחה למערך הסייבר הלאומי, שפעל בנושא אל מול משרד החינוך, ולאנשי מטח – המרכז לטכנולוגיה חינוכית, שאמונים על המערכת, וכולם פעלו לתיקון מהיר שלהן.
אופן ביצוע המתקפה: לינק זדוני מהמערכת עצמה
חולשות האבטחה שאותרו אפשרו להאקרים לקבל גישה ל:פרטים האישיים של התלמידים – כתובת, טלפון, אי-מייל ותעודת זהות; לציוני התלמידים, כולל היכולת לשנות אותם; לפרטים האישיים של המורים, ובהם כתובת, טלפון ואי-מייל; לקבצים מוגנים במערכת; ואפשרות לשנות את סיסמאות הגישה למערכת של התלמידים והמורים.
את המתקפה הפוטנציאלית ניתן היה לבצע דרך שליחת לינק זדוני מתוך המערכת אל המשתמשים בה, כאשר לחיצה על הלינק הייתה מאפשרת לתוקף להריץ נוזקה מרחוק על חשבונות המשתמשים.
לדברי עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, "כל פלטפורמה דיגיטלית עלולה לשמש כמשטח תקיפה למתקפות סייבר וככל שהשימוש בפלטפורמות מסוימות גובר, כך גם תפיסת הפלטפורמה כמטרה 'איכותית' יותר עבור ההאקרים ופושעי הסייבר. לכן, אנחנו רואים חשיבות עליונה באיתור חולשות במערכות פופולריות. מובן שבתקופה האחרונה, אופק הפכה למערכת שכמעט כל בית בישראל מכיר ומשתמש בה. אנחנו מעריכים כי ההאקרים ימשיכו לאתר ולנצל חולשות במערכות שרבים מאיתנו משתמשים בהן. נדרש לספק את מעטפת האבטחה המתאימה למתקפות סייבר לכל מערכת שכזו".
ממטח נמסר כי "צ'ק פוינט איתרה פרצות אבטחה במערכות ללמידה מרחוק במדינות רבות ברחבי העולם, וכן במסגרות של למידה בארגונים ובמוסדות לחינוך והשכלה בארץ. הפרצה שהתגלתה באתר אופק תוקנה במהרה. יצוין כי לא זוהתה כל מתקפה זדונית". עוד מציינים במרכז כי "תחום הלמידה המקוונת, בארץ ובעולם, מתמודד עם אירוע חסר תקדים. גם אנחנו, במטח, משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שתלמידים ומורים רבים יוכלו לקיים פעילות חינוך פדגוגית משמעותית, תוך שהם והמערכת מוגנים, ככל שניתן, מפני אתגרי אבטחת המידע".
בשבוע שעבר פרסמה צ'ק פוינט מחקר שחשף חולשות אבטחה חמורות בכמה ממערכות הלמידה מרחוק הפופולריות בעולם, שמותקנות על גבי פלטפורמות וורדפרס – LearnPress ,LearnDash ו-LifterLMS.
תגובות
(0)