פירצת אבטחה חמורה התגלתה במערכת הלמידה מרחוק של תלמידי ישראל

חוקרי חברת צ'ק פוינט גילו פירצת אבטחה משמעותית בפלטפורמת "אופק" ללמידה מרחוק שמשמשת מאות אלפי תלמידים בבתי הספר היסודי והעל יסודי. הפירצה אפשרה לשנות ציונים, לקבל פרטים אישיים ועוד

04/05/2020
צילום ועריכה: צ'ק פוינט

"חולשות אבטחה חמורות במערכת הלמידה מרחוק המשמשת את תלמידי ישראל- 'אופק'", כך דיווחה הבוקר (שני) חברת אבטחת המידע צ'ק פוינט. מדובר במערכת הדיגיטלית הפופולרית ביותר לבתי הספר בישראל, המשמשת ללמידה מרחוק עבור בתי הספר היסודיים והעל יסודיים. צ'ק פוינט דיווחה על חולשות האבטחה למערך הסייבר הלאומי, שפעל לטפל בנושא מול משרד החינוך והמרכז לטכנולוגיה חינוכית - מטח. שניהם, שאמונים על המערכת, פעלו לתיקון מהיר של החולשות. אותן חולשות האבטחה שאותרו אפשרו לתוקפים לקבל גישה לפרטים האישיים של התלמידים ולציונים, לרבות האפשרות לשנותם, גישה לפרטים האישיים של המורים ואף גישה לקבצים מוגנים במערכת. עוד קיבלו התוקפים גישה לאפשרות לשנות את סיסמאות הגישה למערכת, הן של התלמידים והן של המורים.

טוב לדעת (מקודם)

התקף לב: איך מונעים ומה עושים במקרה והוא מופיע

מוגש מטעם שחל

בצ'ק פוינט מסרו כי ניתן היה לבצע את התקיפה הפוטנציאלית דרך שליחת קישור זדוני מתוך המערכת, כשלחיצה על הקישור אפשרה לתוקף להפעיל מרחוק קוד זדוני על חשבונות המשתמשים. "אנו רואים חשיבות עליונה באיתור חולשות במערכות פופולריות, ומובן שבתקופה האחרונה "אופק" הפכה למערכת שכמעט כל בית בישראל מכיר ומשתמש בה. אנו שמחים על כך שהחולשות שאיתרנו טופלו. יש לצאת מנקודת הנחה שהאקרים ימשיכו לאתר ולנצל חולשות כאלו במערכות שרבים מאיתנו משתמשים בהן. לכן, כדאי לספק את מעטפת האבטחה המתאימה להתקפות סייבר לכל מערכת שכזו", אמר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט.

מערכת אופק(צילום: צ'ק פוינט)

מטח פעלו עם חוקרי צ'ק פוינט לתיקון של החולשות ומסרו בתגובה: "חברת צ'ק פוינט איתרה פירצות אבטחה במערכות ללמידה מרחוק במדינות רבות ברחבי העולם, וכן במסגרות של למידה בארגונים ובמוסדות לחינוך והשכלה בארץ. הפירצה שהתגלתה באתר אופק תוקנה במהרה ויצויין כי לא זוהתה שום מתקפה זדונית. תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".

באמצעות הפירצה, תוקפים היו יכולים לקבל מידע על תלמידים ולשנות את הנתונים שלהם(צילום: צ'ק פוינט)

רק בשבוע שעבר דיווחה צ'ק פוינט על חולשות אבטחה במערכות הלמידה מרחוק הבינלאומיות הגדולות ביותר: LearnPress, LifterMs ו-LearnDash. מדובר במערכות שנמצאות בשימוש על ידי יותר מ-100 אלף מוסדות חינוך, לרבות בישראל. החולשות אפשרו לגנוב מידע אישי, לשנות ציונים,. מהחברה נמסר כי הם פעלו ביחד עם הפלטפורמות לתקן את אותן הפירצות. את הפירצה החדשה איתרו חוקרי אבטחת המידע של חברת צ'ק פוינט: דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully