הפרצה שפגעה בעשרות מכללות ומעמידה בסיכון פרטים של מאות אלפי אזרחים ואזרחיות במדינה עלתה דרגה בחומרתה: בשבוע שעבר (ג') ההאקרים מימשו את איומם והחלו לפרסם את הנתונים שאותם הם קצרו, בהם פרטים אישיים ומאות צילומים של תעודות זהות של אזרחים ישראלים. הפרצה הייתה ידועה כבר מיולי 2023, ולמרות זאת לא טופלה באופן מלא, אם בכלל.
האקרים איראניים פרצו בימים האחרונים למערכות ה-IT של מכללות רבות בישראל, קצרו נתונים רבים, חלקם פרטיים, והתפארו בכך במדיה החברתית. הפריצה התבצעה במתכונת פריצה לשרשרת האספקה: ההאקרים חדרו למערך ה-IT של ראשים, חברה בת של מלם תים, ומשם - ללקוחותיה.
התוקפים הם חברי קבוצת חתלתול נמסיס (Nemesis Kitten), שמסומנת לעתים כ-DEV-0270 ומהווה תת קבוצה של שחקן האיומים האיראני זרחן (Phosphorus). בעבר היא התפרסמה כמי שמבצעת פעולות רשת זדוניות, כולל סריקת פגיעות נרחבת, בגיבוי ובחסות ממשלת איראן. ב-2022 נחשפה הקבוצה כמי שערכה כמה מסעות מתקפות כופרה, שמטרתן לא הייתה קבלת דמי כופר, אלא השגת חדירה למערכי המחשוב של הקורבנות.
בימים האחרונים התרברבו חברי הקבוצה בהצלחתם בדארקנט ובמדיה החברתית. אחד הסרטונים שהם פרסמו מראה כיצד הם חדרו למערכת ניהול של ראשים ומחקו חומר שמצוי על השרתים של החברה. לפי ההאקרים, בסיסי הנתונים שאליהם הם הצליחו להשיג גישה כוללים, בין השאר, את מכללת אריאל, מכללת ספיר, בית ברל, דעת נסים, גור אשדוד, המכללה האקדמית חמדת, הקולג' הישראלי, מכללת המשטרה בבית שמש ומכללת סח'נין.
לאחר שבעבר ההאקרים פרסמו מטה דאטה - משמע, שמות קבצים ותיקיות, בימים האחרונים הם החלו בפרסום הנתונים עצמם, כגון תצלומי תעודות זהות שבהם רשום מועד הנפקת התעודה - מה שפוגם ביכולת לוודא שהמסמך הוא אכן אמיתי. כך, התוקפים הגיעו גם לקבצים, ולא רק למידע. המשמעות היא שלא מדובר בפרטים אישיים בלבד, אלא במסמכי זיהוי, שמאפשרים לבצע פעולות מגוונות ומסוכנות בשמם של הקורבנות, באמצעות השגת גישה לפרטים רגישים כמו שירות צבאי.
חוקר אבטחה פנה למערך הסייבר הלאומי כבר במחצית השנייה של השנה שעברה ודיווח על הפריצה, בנוסף לדיווחים נוספים. למרות זאת, במערך הסייבר הלאומי ובחברת ראשים לא נעשה דבר לתיקונה או לפרסומה. חמור מזאת, גם לאחר הפרסום, הפרצה עדיין חיה וקיימת במקומות מסויימים, בקרב לקוחות שלא הטליאו אותה. כך, עדיין ניתן לקצור את הנתונים הפרטיים והאישיים של מאות אלפי אזרחי המדינה שעברו קורסים במכללות, או שקלו לעבור קורסים ומסרו את פרטיהם.
מערך הסייבר הלאומי מסר כי "חברת ראשים ומערך הסייבר הלאומי פועלים בשיתוף פעולה בכל הקשור לטיפול באירוע הסייבר. המערך פעל מול החברה לאור הדיווח על החולשות. המערך עודכן על האירוע, וכן העביר הנחיות להגנה על הלקוחות. התרעה בנושא תצא בהתאם לצורך".
מלם תים רכשה ב-2020 את ראשים - תכנון וביצוע מערכות מידע, שמציעה פתרונות מחשוב בתחום המינהל האקדמי למוסדות להשכלה גבוהה, וניהול הדרכה וכשירויות בארגונים. ראשים הוקמה ב-1998 ומספקת פתרונות לארגוני אקדמיה, השכלה והדרכה. למערכת פרי הפיתוח שלה יש יותר מ-200 אלף משתמשים - סטודנטים, עובדים, מרצים, מדריכים, וכן עובדי מינהל והנהלה. על לקוחות החברה נמנים גופי אקדמיה בולטים בישראל, בהם אוניברסיטת אריאל, מכללת אורנים, מכללת אל קאסמי, סמינר הקיבוצים, מכללת דוד ילין, מכללת סמי שמעון בנגב, מכללת תל חי, מכללת לוינסקי, המכון הטכנולוגי חולון (HIT) ועשרות מכללות נוספות. הפתרון של החברה מיושם גם בגופי ההדרכה הגדולים של המכללה הלאומית לשוטרים ושל רשות שדות התעופה. באחרונה הנפיקה ראשים גרסת תוכנה חדשה, שעל פי החברה סוגרת את הפרצה ומונעת קצירת נתונים, אך יש לקוחות שלא הטמיעו אותה, ולכן נותרו פרוצים.