הקורונה גרמה למוסדות חינוך ברחבי העולם לעבור באופן גורף ללמידה מרחוק באמצעות מערכות שונות. חברת צ'קפוינט חשפה היום (חמישי) פרצת אבטחה בשלוש מערכות - LearnPress, LearnDash, LifterMS - המותקנות על פלטפורמת wordpress והן מהגדולות בעולם מסוגן. הן נמצאות בשימוש על ידי למעלה ממאה אלף מוסדות חינוך וחברות מובילות ברחבי העולם, בין היתר בישראל.
כאמור, מדובר במערכות שמותקנות בכמחצית מכלל השוק שמציע לימודים מרחוק, קרי מאות אתרים של מכללות מקוונות, לשכות רשמיות, איגודים מקצועיים, אתרי הכשרה ומידע. החולשות מאפשרות לגנוב מידע אישי של המשתמשים בפלטפורמות (סטודנטים/עובדים), יצירת מזימות אשראי, וכן להשתמש בכלים בהם משתמשים המרצים – שינוי ציונים, העלאת תכנים, התחזות למרצים ועוד.
בחברה הדגישו כי "החולשות תוקנו לאחר שפנינו למערכות הללו, אולם רק עדכון גרסה יאפשר להיות מוגן מהחולשות. החברות והמוסדות שמשתמשים בהן ולא יעדכנו את העדכון האחרון של התוכנות, חושפות את כל משתמשי הקצה למתקפות".
מה הן המערכות ללימוד מרחוק שנבדקו?
מדובר במאגרים גדולים של תכנים חינוכיים ומקצועיים המאפשרים לכל משתמש (עם שם משתמש וסיסמה) להיכנס אליהן ולבחור אילו תכנים לצרוך. בתקופת הקורונה, מערכות מסוג זה הפכו לכלי המרכזי ללימוד של מוסדות אקדמיים ובתי ספר שלא מאפשרים לתלמידיהם להגיע לקמפוסים, ודרכן מועברים שיעורים, מטלות, בחינות וכמובן קביעת ציונים. כמו כן, חברות גדולות משתמשות בהן לרכישת ידע מקצועי דרך קורסים מקוונים (כולל קורסי תעודה).
LearnPress היא תוסף לניהול מערכות לימודים הנפוץ ביותר, מאפשר למנהלי האתר לייצר ולמכור קורסים בקלות ולייצר שיעורים מבוססי סילבוס מסודר. מצוי בשימוש של יותר מ-21 אלף מוסדות חינוך עם יותר מ-80 אלף התקנות באתרים בעולם.
LearnDash תוסף מוביל למערכות לימודים, מאפשר מכירת קורסים ותגמול על צריכת תכנים. למעלה מ-33 אלף גופים משתמשים בו, בהם החברות הגדולות בעולם (Fortune 500) ואוניברסיטאות.
LifterLMS תוסף מוביל למערכות לימודים, מכיל קורסים, בחינות, הכשרות תעודה. למעלה מ-17 אלף גופים משתמשים בו.
החולשות שאותרו
החולשות שאותרו במערכות השונות מאפשרות לסטודנטים ולגורמים בלתי מורשים להשיג מידע אישי רגיש עלה המשתמשים שלהן ואף להשיג שליטה מלאה על המערכות ועל כלל השירותים המוצעים בהן. החולשות אפשרו להאקר, למשל, לגנוב את המידע האישי של המשתמשים (שמות, אי מיילים, שמות משתמש, ססמאות), להשתמש במערכת בכדי להעביר כספים לחשבונות האישיים של התוקף, לשנות ציונים עבור עצמם/אחרים, לזייף תעודות הכשרה, לרמות במבחנים או להידמות למורה/מנחה הקורס אל מול המשתמשים ובכך לקבל הרשאות גבוהות יותר למערכת.
צ'ק פוינט פנתה למערכות המדוברות וסייעה להם לתקן את החולשות באופן מלא. עדכוני התוכנה האחרונים שלהן מכילים תיקונים לחולשות אלו.
עמרי הרשקוביץ, ראש צוות מחקר החולשות שביצע את המחקר, סיפר: "נגיף הקורונה גרם לכולנו להעביר את העבודה ואת הלימודים אל הבתים. החיבור מרחוק למערכות שונות מייצר משטח תקיפה פוטנציאלי, ואכן הוכחנו כיצד האקרים יכלו לנצל את המערכות הפופולריות הללו לייצר מתקפות". הוא ציין כי "המוסדות החינוכיים האקדמיים בעולם, לצד חברות רבות או מכוני הכשרה מקצועית, משתמשים במערכות הללו, מתוך נקודת הנחה שבכך יתאפשרו הלימודים וההכשרות גם בתקופה זו".
הוא ציין כי "החולשות שאותרו מוכיחות שמידע רגיש ויכולות חשובות יכלו די בקלות להגיע לידיים הלא נכונות. אנו קוראים לכל המוסדות החינוכיים והמקצועיים שמעודדים למידה מרחוק לוודא שהמערכות בהן הם משתמשים מעודכנות בעדכוני האבטחה האחרונים, שכוללים תיקון של החולשות שמצאנו".