נחשפו ותוקנו ליקויי אבטחה במערכת הלמידה מרחוק "אופק"

ליקויי אבטחה חמורים במערכת ללימוד מרחוק המשמשת את תלמידי ישראל, "אופק", נחשפו ותוקנו. המערכת הינה הגדולה ביותר לבתי הספר בישראל ומשמשת ללמידה מרחוק בבתי הספר היסודיים והעל-יסודיים. הפרצות זוהו בידי חוקרי סייבר של חברת צ'ק פוינט.

החברה דיווחה על חולשות האבטחה למערך הסייבר הלאומי אשר פעל בנושא אל מול משרד החינוך, והמרכז לטכנולוגיה חינוכית (מט''ח), אשר אמון על המערכת, פעל לתיקון של החולשות.

הליקויים שאותרו אפשרו לתוקף לקבל גישה לפרטים האישיים של התלמידים כגון: כתובת, טלפון, כתובות אימייל ומספרי תעודות זהות. כמו כן ניתן היה לקבל גישה לציוני התלמידים, כולל היכולת לשנותם. בנוסף ניתנה אפשרות לקבל גישה לפרטים האישיים של המורים, בהם כתובת מגורים, מספרי טלפון, כתובות אימייל, גישה לקבצים מוגנים במערכת וכן אפשרות לשנות את סיסמאות הגישה למערכת של התלמידים והמורים.

את התקיפה הפוטנציאלית ניתן היה לבצע דרך שליחת קישור זדוני מתוך המערכת למשתמשים בה, כאשר לחיצה על הלינק היתה מאפשרת לתוקף להריץ קוד זדוני מרחוק על חשבונות המשתמשים. ניתן לראות את החולשות בדוגמה המצורפת למייל זה. זאת אומרת שלתוקף היתה צריכה להיות גישה מוקדמת למערכת, אך עבור האקר מיומן בהנדסה חברתית, מדובר בפרטי גישה שאפשר להשיג ללא קושי רב.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט: "כל פלטפורמה דיגיטלית יכולה לשמש כמשטח תקיפה למתקפות סייבר, וככל שהשימוש בפלטפורמות מסוימות גובר – כך גם נתפסת הפלטפורמה כמטרה "איכותית" יותר עבור פושעי הסייבר. מובן שבתקופה האחרונה "אופק" הפכה למערכת שכמעט כל בית בישראל מכיר ומשתמש בה".

ממט"ח נמסר: "הפרצה שזוהתה באתר אופק תוקנה ויצויין כי לא זוהתה שום מתקפה זדונית. תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".

מערך הסייבר הלאומי התייחס גם הוא לפרצה: "הנושא דווח לנו וטופל במהירות אל מול משרד החינוך. חולשות בפלטפורמות שונות מדווחות למערך או מתגלות על ידו לעיתים תכופות. על הארגונים לבדוק תמידית את מידת החשיפה והמוגנות של מערכותיהם כדי למנוע אירועי סייבר".