פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל
חוקרים ישראליים הצליחו לגלות חולשה, שאפשרה במקרה ”הטוב” לשנות ציונים, ובמקרה הרע גם לשלוף נתונים ופרטים רגישים על תלמידים ומורים
בחודשיים האחרונים ילדי ישראל עברו למתכונת לימודים מרחוק, ובין השיעורים בזום הם גם השתמשו במערכת “אופק”, המשמשת את תלמידי ומורי הכיתות בבתי הספר היסודיים והעל יסודיים. היום (ב’), חוקרים ישראליים חושפים חולשות אבטחה חמורות שגילו במערכת אשר מאפשרות גישה לפרטים האישיים ביותר של התלמידים והמורים ואפילו לשנות את הציונים.
לינק אחד, וכל המידע של התלמידים והמורים זמין לתוקף
דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה, חוקרי אבטחת מידע בחברת צ’ק פוינט איתרו חולשה מתוחכמת במערכת אופק, במסגרתה אחד התלמידים (או כמובן תוקף המתחזה לתלמיד) שולח למורה, לה יש הרשאות כמעט לא מוגבלות במערכת, לינק המכיל קוד זדוני במערכת ההודעות. כדי לא לעורר חשד, הלינק מפנה את המורה מחדש לאתר של אופק.
לאחר הפעלת הקוד הזדוני על חשבון המורה, התוקף משתלט על החשבון של המורה ומקבל את ההרשאות של המשתמש. בכך, הוא יכול להכנס למערכת הציונים, לראות את הציונים של שאר הכיתה ואף לשנות אותם כרצונו. אם לא די בזאת, ההרשאות מאפשרות לתוקף לקבל גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות. אפילו פרטי המורים חשופים בפניו וכוללים כתובות, טלפונים ומיילים. בנוסף, התוקף מקבל גישה לקבצים מוגנים במערכת ויכול לשנות את סיסמאות הגישה של התלמידים והמורים. בקיצור, כאוס בכיתה הוירטואלית.
בשיחה עם גיקטיים מסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ’ק פוינט, כי מדובר במתקפת הזרקת קוד המבוססת על כמה חולשות במערכת: RFI המאפשרת הרצת קוד מרחוק, XSS המאפשרת הזרקת קוד בדף האתר מבלי לבצע סינון של הקלט ו-Blind XXE, המאפשר לקרוא קבצים בצד השרת באמצעות שילוב של החולשה הראשונה.
צ’ק פוינט דיווחה על הפירצה עם גילויה למרכז לטכנולוגיה חינוכית (מט”ח), שאחראי על פיתוח והפעלת המערכת. המרכז תיקן את החולשות וטוען כי לא זוהתה כל מתקפה זדונית שעשתה שימוש בחולשות.
הגב
4 תגובות על "פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
שום דבר חדש לא גילו
כמו כן, ווינדוס 8 התקשרה, ביקשה את המטרו שלה בחזרה
“גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות.”
גם ככה כל הפרטים של אותם תלמידים ידלפו בבחירות הרבעיות / חמישיות / שישיות
אז התלמיד יקבל בתושב”ע 94 במקום 33 לאף אחד לא אכפת
אם היה להם OKTA כנראה זה לא היה קורה