חוקרי אבטחת המידע של חברת צ'ק פוינט, דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה איתרו חולשות אבטחה חמורות במערכת ללימוד מרחוק המשמשת את תלמידי ישראל- "אופק". מדובר במערכת הדיגיטלית הגדולה ביותר לבתי הספר בישראל המשמשת ללמידה מרחוק לכיתות בבתי הספר היסודי ועל יסודי.
צ'ק פוינט דיווחה על חולשות האבטחה למערך הסייבר הלאומי אשר פעל בנושא אל מול משרד החינוך, והמרכז לטכנולוגיה חינוכית- מטח, אשר אמון על המערכת, פעל לתיקון מהיר של החולשות.
חולשות האבטחה שאותרו אפשרו לתוקף לקבל גישה לפרטים האישיים של התלמידים (כתובת, טלפון, אי מייל ותעודת זהות), גישה לציוני התלמידים (כולל היכולת לשנותם), גישה לפרטים האישיים של המורים (ובהם כתובת, טלפון, אי מייל), גישה לקבצים מוגנים במערכת וכן אפשרות לשנות את ססמאות הגישה למערכת של התלמידים והמורים.
את התקיפה הפוטנציאלית ניתן היה לבצע דרך שליחת לינק זדוני מתוך המערכת למשתמשים בה, כאשר לחיצה על הלינק היתה מאפשרת לתוקף להריץ קוד זדוני מרחוק על חשבונות המשתמשים. נזכיר שבשבוע שעבר פרסמה צ'ק פוינט מחקר מקיף על חולשות אבטחה בשלוש מערכות ללימוד מרחוק הפופולריות בעולם.
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט: "כל פלטפורמה דיגיטלית יכולה לשמש כמשטח תקיפה למתקפות סייבר, וככל שהשימוש בפלטפורמות מסוימות גובר – כך גם תפיסת הפלטפורמה כמטרה "איכותית" יותר עבור פושעי הסייבר. לכן, אנו רואים חשיבות עליונה באיתור חולשות במערכות פופולריות, ומובן שבתקופה האחרונה "אופק" הפכה למערכת שכמעט כל בית בישראל מכיר ומשתמש בה.
עוד הוסיפו: ״אנו שמחים על כך שהחולשות שאיתרנו טופלו. יש לצאת מנקודת הנחה שהאקרים ימשיכו לאתר ולנצל חולשות במערכות שרבים מאיתנו משתמשים בהן, ולספק את מעטפת האבטחה המתאימה להתקפות סייבר לכל מערכת שכזו".
מטח, כאמור פעלו עם חוקרי צ'ק פוינט לתיקון מהיר של החולשות ומסרו את ההתייחסות הבאה: "חברת צ'ק פוינט איתרה פרצות אבטחה במערכות ללמידה מרחוק במדינות רבות ברחבי העולם, וכן במסגרות של למידה בארגונים ובמוסדות לחינוך והשכלה בארץ. הפירצה שהתגלתה באתר אופק תוקנה במהרה ויצויין כי לא זוהתה שום מתקפה זדונית. במטח מציינים כי תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים וגם אנו במטח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".