ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
טכנולוגיה חולשות אבטחה חמורות התגלו במערכת הלמידה מרחוק "אופק"
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2022

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות שירות למנויים נגישות הגדרות לוח גלובס יצירת קשר פרסמו אצלנו תנאי שימוש מדיניות פרטיות
למידה מקוונת

הורים לתלמידים? שימו לב: חולשות אבטחה חמורות התגלו במערכת הלמידה מרחוק "אופק"

הפירצות אפשרו לקבל גישה לפרטים אישיים על תלמידים וכן לפרטים אישיים של מורים, גישה לציונים תוך יכולת לשנות אותם וגישה לשינוי סיסמאות המשתמשים במערכת • חברת צ'ק פוינט איתרה את החולשות ודיווחה עליהן, והפירצות תוקנו

יסמין יבלונקו 04.05.2020
שיעור מקוון / צילום: דני זקן, גלובס
שיעור מקוון / צילום: דני זקן, גלובס

חולשות אבטחה חמורות שהתגלו במערכת הלמידה מרחוק הגדולה בישראל, "אופק", אפשרו לקבל גישה לפרטים אישיים על תלמידים, בהם כתובת, מספר טלפון, אימייל ומספר תעודת זהות, גישה לפרטים אישיים של מורים, גישה לציוני תלמידים תוך יכולת לשנות אותם וגישה לשינוי סיסמאות המשתמשים במערכת.

חברת אבטחת הסייבר הישראלית צ'ק פוינט איתרה את החולשות ודיווחה עליהן למערך הסייבר הלאומי לפני כשבוע וחצי. מערך הסייבר פעל מול משרד החינוך וחברת מט"ח, שפיתחה את המערכת.

לפי צ'ק פוינט, מט"ח פעלה לתיקון החולשות במהירות, ונדרשו מספר ניסיונות עד שהחולשות תוקנו. החולשה אותרה על-ידי החוקרים דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה.

מערכת "אופק" של חברת מט"ח נמצאת בשימוש של מאות אלפי תלמידים בבתי הספר היסודיים והעל-יסודיים בישראל מזה מספר שנים. בחודש האחרון, בעקבות התפרצות מגפת הקורונה, חלק ניכר מהלמידה במדינת ישראל עברה למערכות למידה מרחוק, בהן מערכת אופק, בה המורים יכולים להעביר מטלות לתלמידים, להתכתב איתם ולתת ציונים.

לפי ההערכות, סביר שנעשה שימוש בחולשות האבטחה שנמצאות במהלך התקופה שעד לאיתורן ותיקונן, כיוון שמדובר בחולשות שפשוט לנצל, אך קשה לאתר מקרים של ניצולן.

חולשות האבטחה שהתגלו אפשרו, בין היתר, לבצע התקפה פשוטה של הזרקת קוד זדוני שמאפשר להשתלט על החשבון המותקף ולגשת לקבצים רגישים במערכת. המשמעות היא שהמערכת אפשרה למשתמשים בה להכניס שורות קוד בשדות טקסט וכך לשלוח קישור זדוני שמאפשר השתלטות על חשבון של משתמש אחר שלוחץ עליו. כך ניתן היה להשתלט על חשבונות של מורים, להם יש הרשאות לשינוי ציונים, צפייה בפרטי משתמשים וכן עריכת קבצים במערכת.

"הפירצה שהתגלתה באתר אופק תוקנה במהרה, ויצוין כי לא זוהתה שום מתקפה זדונית", נמסר מטעם מט"ח בהודעה על גילוי החולשות. "תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים, וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על-מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".

תקופת הקורונה בה לימודים ועבודה עוברים להתבצע מרחוק במערכות מקוונות, מובילה לכך שיותר ויותר פירצות מנוצלות על-מנת להגיע למידע רגיש. בשבוע שעבר פרסמה צ'ק פוינט מחקר שביצעה, במסגרתו נחשפו חולשות אבטחה דומות בשלוש מערכות הלמידה מרחוק הפופולריות בעולם: LearnPress, LearnDash ו-LifterLMS. מערכות אלה נמצאות בשימוש גם בישראל, בעסקים, בארגונים ובמוסדות לימוד שאינם משתמשים במערכות משרד החינוך. למשל, עבור סמינרים של חברות לעובדיהן או עבור קורסים שונים.