חולשות אבטחה חמורות התגלו במערכת "אופק" ללמידה מרחוק, המשמשת רבים מהתלמידים בישראל: חוקרי אבטחת המידע של חברת צ'ק פוינט גילו כי תוקפים היו יכולים לקבל גישה לפרטים אישיים של תלמידים ומורים, לשנות ציונים, לגשת לקבצים מוגנים ועוד. חולשות האבטחה תוקנו על-ידי מט"ח, המרכז לטכנולוגיה חינוכית, שעומד מאחורי המערכת. לא ידוע על ניצול לרעה שלהן.
החולשות התגלו בזמן שתלמידים רבים לומדים מרחוק בעקבות משבר הקורונה. אחרי שבשבוע שעבר חשפה צ'ק פוינט חולשות אבטחה בשלוש מערכות בינלאומיות ללימוד מרחוק, הפעם החליטו החוקרים להיכנס לעובי הקורה של מערכת "אופק". החוקרים דיקלה ברדה, רומן זאיקין, יערה שריקי ואסף יהודה גילו כי ניתן היה לשלוח לינק זדוני בתוך המערכת למשתמשים, למשל במסווה של הודעה מתלמיד למורה (ראו בסרטון למעלה). לחיצה על הקישור הייתה מאפשרת לתוקף להריץ מרחוק קוד זדוני על חשבונות המשתמשים.
הקוד הזדוני יכול היה לתת לתוקפים גישה לפרטים אישיים של תלמידים ומורים (כתובת, טלפון, מייל, תעודת זהות), לגשת לציוני התלמידים ולשנות אותם, לגשת לקבצים מוגנים במערכת וגם לשנות את סיסמאות הגישה של התלמדיים והמורים. בצ'ק פוינט דיווחו על חולשות האבטחה למערך הסייבר הלאומי, אשר פעל מול משרד החינוך ומט"ח על מנת לוודא שהחולשות יתוקנו בהקדם האפשרי.
"האקרים ימשיכו לאתר ולנצל חולשות"
"כל פלטפורמה דיגיטלית יכולה לשמש כמשטח תקיפה למתקפות סייבר, וככל שהשימוש בפלטפורמות מסוימות גובר – כך גם תפיסת הפלטפורמה כמטרה 'איכותית' יותר עבור פושעי הסייבר", מסביר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט. "לכן, אנו רואים חשיבות עליונה באיתור חולשות במערכות פופולריות, ומובן שבתקופה האחרונה 'אופק' הפכה למערכת שכמעט כל בית בישראל מכיר ומשתמש בה. אנו שמחים על כך שהחולשות שאיתרנו טופלו. יש לצאת מנקודת הנחה שהאקרים ימשיכו לאתר ולנצל חולשות במערכות שרבים מאיתנו משתמשים בהן, ולספק את מעטפת האבטחה המתאימה להתקפות סייבר לכל מערכת שכזו".
ממט"ח נמסר בתגובה: "חברת צ'ק פוינט איתרה פרצות אבטחה במערכות ללמידה מרחוק במדינות רבות ברחבי העולם, וכן במסגרות של למידה בארגונים ובמוסדות לחינוך והשכלה בארץ. הפרצה שהתגלתה באתר אופק תוקנה במהרה ויצויין כי לא זוהתה שום מתקפה זדונית". במט"ח מציינים כי "תחום הלמידה המקוונת בעולם מתמודד עם אירוע חסר תקדים וגם אנו במט"ח משקיעים משאבים ומאמצים רבים, תוך כדי תנועה, על מנת שמצד אחד יוכלו תלמידים ומורים רבים לקיים פעילות חינוך פדגוגית משמעותית, ומצד שני להיות מוגנים ככל שניתן מפני אתגרי אבטחת המידע".