פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל

חוקרים ישראליים הצליחו לגלות חולשה, שאפשרה במקרה ”הטוב” לשנות ציונים, ובמקרה הרע גם לשלוף נתונים ופרטים רגישים על תלמידים ומורים

תמונה: מטח

בחודשיים האחרונים ילדי ישראל עברו למתכונת לימודים מרחוק, ובין השיעורים בזום הם גם השתמשו במערכת “אופק”, המשמשת את תלמידי ומורי הכיתות בבתי הספר היסודיים והעל יסודיים. היום (ב’), חוקרים ישראליים חושפים חולשות אבטחה חמורות שגילו במערכת אשר מאפשרות גישה לפרטים האישיים ביותר של התלמידים והמורים ואפילו לשנות את הציונים.

לינק אחד, וכל המידע של התלמידים והמורים זמין לתוקף

דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה, חוקרי אבטחת מידע בחברת צ’ק פוינט איתרו חולשה מתוחכמת במערכת אופק, במסגרתה אחד התלמידים (או כמובן תוקף המתחזה לתלמיד) שולח למורה, לה יש הרשאות כמעט לא מוגבלות במערכת, לינק המכיל קוד זדוני במערכת ההודעות. כדי לא לעורר חשד, הלינק מפנה את המורה מחדש לאתר של אופק.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

לאחר הפעלת הקוד הזדוני על חשבון המורה, התוקף משתלט על החשבון של המורה ומקבל את ההרשאות של המשתמש. בכך, הוא יכול להכנס למערכת הציונים, לראות את הציונים של שאר הכיתה ואף לשנות אותם כרצונו. אם לא די בזאת, ההרשאות מאפשרות לתוקף לקבל גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות. אפילו פרטי המורים חשופים בפניו וכוללים כתובות, טלפונים ומיילים. בנוסף, התוקף מקבל גישה לקבצים מוגנים במערכת ויכול לשנות את סיסמאות הגישה של התלמידים והמורים. בקיצור, כאוס בכיתה הוירטואלית.

בשיחה עם גיקטיים מסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ’ק פוינט, כי מדובר במתקפת הזרקת קוד המבוססת על כמה חולשות במערכת: RFI המאפשרת הרצת קוד מרחוק, XSS המאפשרת הזרקת קוד בדף האתר מבלי לבצע סינון של הקלט ו-Blind XXE, המאפשר לקרוא קבצים בצד השרת באמצעות שילוב של החולשה הראשונה.

צ’ק פוינט דיווחה על הפירצה עם גילויה למרכז לטכנולוגיה חינוכית (מט”ח), שאחראי על פיתוח והפעלת המערכת. המרכז תיקן את החולשות וטוען כי לא זוהתה כל מתקפה זדונית שעשתה שימוש בחולשות.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

4 תגובות על "פרצת אבטחה התגלתה במערכת הלימוד מרחוק של ישראל"

התחבר עם:

   

Photo and Image Files

 

 

 

 

 

 

Audio and Video Files

 

 

 

 

 

 

Other File Types

 

 

 

 

 

 

התראה על תגובות חדשות לתגובה הזאת

   

Photo and Image Files

 

 

 

 

 

 

Audio and Video Files

 

 

 

 

 

 

Other File Types

 

 

 

 

 

 

התראה על תגובות חדשות לתגובה הזאת

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים

Guest

יגאל

שתפ/י ב Twitterשתפ/י ב Google

שום דבר חדש לא גילו

דרג/י למעלה

0

דרג/י למטה  תגובות

8 months 19 days ago

Guest

ASD

שתפ/י ב Twitterשתפ/י ב Google

כמו כן, ווינדוס 8 התקשרה, ביקשה את המטרו שלה בחזרה

דרג/י למעלה

5

דרג/י למטה  תגובות

8 months 19 days ago

Guest

עודד המקודד

שתפ/י ב Twitterשתפ/י ב Google

“גישה לפרטים רגישים של תלמידים (רובם הגדול קטינים), כמו שמות מלאים, כתובות, טלפונים, כתובות מיילים ותעודות זהות.”

גם ככה כל הפרטים של אותם תלמידים ידלפו בבחירות הרבעיות / חמישיות / שישיות

אז התלמיד יקבל בתושב”ע 94 במקום 33 לאף אחד לא אכפת

דרג/י למעלה

-1

דרג/י למטה  תגובות

8 months 19 days ago

Guest

namsudo

שתפ/י ב Twitterשתפ/י ב Google

אם היה להם OKTA כנראה זה לא היה קורה

דרג/י למעלה

0

דרג/י למטה  תגובות

8 months 17 days ago

תגיות לכתבה: