פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל

04.05.2020 4 תגובות אבטחת מידע

Share

חוקרים ישראליים הצליחו לגלות חולשה, שאפשרה במקרה ”הטוב” לשנות ציונים, ובמקרה הרע גם לשלוף נתונים ופרטים רגישים על תלמידים ומורים

תמונה: מטח

בחודשיים האחרונים ילדי ישראל עברו למתכונת לימודים מרחוק, ובין השיעורים בזום הם גם השתמשו במערכת “אופק”, המשמשת את תלמידי ומורי הכיתות בבתי הספר היסודיים והעל יסודיים. היום (ב’), חוקרים ישראליים חושפים חולשות אבטחה חמורות שגילו במערכת אשר מאפשרות גישה לפרטים האישיים ביותר של התלמידים והמורים ואפילו לשנות את הציונים.

לינק אחד, וכל המידע של התלמידים והמורים זמין לתוקף

דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה, חוקרי אבטחת מידע בחברת צ’ק פוינט איתרו חולשה מתוחכמת במערכת אופק, במסגרתה אחד התלמידים (או כמובן תוקף המתחזה לתלמיד) שולח למורה, לה יש הרשאות כמעט לא מוגבלות במערכת, לינק המכיל קוד זדוני במערכת ההודעות. כדי לא לעורר חשד, הלינק מפנה את המורה מחדש לאתר של אופק.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

לאחר הפעלת הקוד הזדוני על חשבון המורה, התוקף משתלט על החשבון של המורה ומקבל את ההרשאות של המשתמש. בכך, הוא יכול להכנס למערכת הציונים, לראות את הציונים של שאר הכיתה ואף לשנות אותם כרצונו. אם לא די בזאת, ההרשאות מאפשרות לתוקף לקבל גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות. אפילו פרטי המורים חשופים בפניו וכוללים כתובות, טלפונים ומיילים. בנוסף, התוקף מקבל גישה לקבצים מוגנים במערכת ויכול לשנות את סיסמאות הגישה של התלמידים והמורים. בקיצור, כאוס בכיתה הוירטואלית.


בשיחה עם גיקטיים מסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ’ק פוינט, כי מדובר במתקפת הזרקת קוד המבוססת על כמה חולשות במערכת: RFI המאפשרת הרצת קוד מרחוק, XSS המאפשרת הזרקת קוד בדף האתר מבלי לבצע סינון של הקלט ו-Blind XXE, המאפשר לקרוא קבצים בצד השרת באמצעות שילוב של החולשה הראשונה.

צ’ק פוינט דיווחה על הפירצה עם גילויה למרכז לטכנולוגיה חינוכית (מט”ח), שאחראי על פיתוח והפעלת המערכת. המרכז תיקן את החולשות וטוען כי לא זוהתה כל מתקפה זדונית שעשתה שימוש בחולשות.

Share

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

4 תגובות על "פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יגאל
Guest
יגאל

שום דבר חדש לא גילו

דרג/י למעלה
0
דרג/י למטה  תגובות
1 year 6 months ago
ASD
Guest
ASD

כמו כן, ווינדוס 8 התקשרה, ביקשה את המטרו שלה בחזרה

דרג/י למעלה
5
דרג/י למטה  תגובות
1 year 6 months ago
עודד המקודד
Guest
עודד המקודד

“גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות.”

גם ככה כל הפרטים של אותם תלמידים ידלפו בבחירות הרבעיות / חמישיות / שישיות

אז התלמיד יקבל בתושב”ע 94 במקום 33 לאף אחד לא אכפת

דרג/י למעלה
-1
דרג/י למטה  תגובות
1 year 6 months ago
namsudo
Guest
namsudo

אם היה להם OKTA כנראה זה לא היה קורה

דרג/י למעלה
0
דרג/י למטה  תגובות
1 year 6 months ago
wpDiscuz

תגיות לכתבה: