נחשפו ותוקנו ליקויי אבטחה במערכת הלמידה מרחוק "אופק"

החברה דיווחה על חולשות האבטחה למערך הסייבר הלאומי אשר פעל בנושא אל מול משרד החינוך, והמרכז לטכנולוגיה חינוכית (מט''ח), אשר אמון על המערכת, פעל לתיקון של החולשות.

לימוד מרחוק צילום: עדי בן ארי

הליקויים שאותרו אפשרו לתוקף לקבל גישה לפרטים האישיים של התלמידים כגון: כתובת, טלפון, כתובות אימייל ומספרי תעודות זהות. כמו כן ניתן היה לקבל גישה לציוני התלמידים, כולל היכולת לשנותם. בנוסף ניתנה אפשרות לקבל גישה לפרטים האישיים של המורים, בהם כתובת מגורים, מספרי טלפון, כתובות אימייל, גישה לקבצים מוגנים במערכת וכן אפשרות לשנות את סיסמאות הגישה למערכת של התלמידים והמורים.

את התקיפה הפוטנציאלית ניתן היה לבצע דרך שליחת קישור זדוני מתוך המערכת למשתמשים בה, כאשר לחיצה על הלינק היתה מאפשרת לתוקף להריץ קוד זדוני מרחוק על חשבונות המשתמשים. ניתן לראות את החולשות בדוגמה המצורפת למייל זה. זאת אומרת שלתוקף היתה צריכה להיות גישה מוקדמת למערכת, אך עבור האקר מיומן בהנדסה חברתית, מדובר בפרטי גישה שאפשר להשיג ללא קושי רב.

מערכת אופק ללימוד מרחוק צילום מסך: Youtube

ממט"ח נמסר: "הפרצה שזוהתה באתר אופק תוקנה ויצויין כי לא זוהתה שום מתקפה זדונית. תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".

מערך הסייבר הלאומי התייחס גם הוא לפרצה: "הנושא דווח לנו וטופל במהירות אל מול משרד החינוך. חולשות בפלטפורמות שונות מדווחות למערך או מתגלות על ידו לעיתים תכופות. על הארגונים לבדוק תמידית את מידת החשיפה והמוגנות של מערכותיהם כדי למנוע אירועי סייבר".