דמיינו תרחיש בו האקר צופה במידע אישי של הילדים שלכם, החל ממספרי תעודת הזהות, כתובת המגורים, ועד פרטים אישיים שנכתבים למערכת החינוך. חולשת אבטחה כזו התגלתה באתר משרד החינוך ואפשרה לתוקפים לעקוב אחרי מידע אישי של הגולשים, ואף לשתול נוזקות במחשב האישי של הנתקף.
מקור החולשה, שנחשפה באתר הבית של המשרד ובעמוד פניות הציבור, נמצא בחוסר ההקשחות של האתר בכל הנוגע ליצירת חיבורים מאובטחים (HTTPS), כך לדברי מומחי אבטחה. וזה לא הכל, החולשה אותרה גם בפורטל של עובדי ההוראה, דבר שאפשר להאקרים לעקוב מרחוק אחר הנעשה באתר. כך למשל, תוקף לא מתוחכם במיוחד יכול לעקוב ללא הפרעה אחר שיחה בצ'אט עם נציג משרד החינוך, או אפילו להתחזות.
״למדינות כמו איראן יש את היכולת לנתב מחדש פניות של משתמשים באתר משרד החינוך לאיראן. עצם הניתוב הזה מאפשר להם לתקוף את אותם ישראלים במספר דרכים״, אומר רועי פז מומחה אבטחת מידע וחוקר חולשות בשיחה עם ׳ישראל היום׳. ״ניתן לפרוץ למחשבים של כל מי שניגש לאתר של משרד החינוך באמצעות חולשה בדפדפנים או לחילופין לגנוב את המידע שמוזן לאתרים ממשלתיים ללא הפרוטוקולים DNSSEC ו-HSTS Preload״.
״ברגע שהאתר לא מוגן מפני מתקפות תוקף יכול להזריק נוזקות (DNS Poisoning) או לגנוב את כל מה שגולש מקליד או כתבו״, מוסיף פז. ״הסיבה לזה היא שהאתר משתמש גם במקורות חיצוניים או פנימיים שהם HTTP רגיל מה שלא באמת נותן הגנה מלאה״.
בעיה נוספת שעולה בעקבות בעיית האבטחה באתר היא התחזות. ״המשמעות של שני האתרים של משרד החינוך שמראים תקלות בתעודת האבטחה היא שהדירוג של אותם אתרים בתוצאות החיפוש של גוגל ירד״, מציין אמיר כרמי ראש תחום הגנה HackerU Solutions בשיחה עם ׳ישראל היום׳. ״כך יכולים תוקפים מהירים לנצל את המצב, להעלות אתר מתחזה שנראה זהה ועם שינוי של אות אחת בכתובת, ולשים עליו תעודת אבטחה תקינה. לאחר מכן הם יכולים לקדם את אותו אתר מתחזה בשלל דרכים, לגיטימיות או לא לגיטימיות״.
״בתוצאות החיפוש של גוגל, כשאחפש "משרד החינוך" אקבל בתוצאה הראשונה את האתר של התוקפים, ומשם הדרך קצרה לגניבת פרטים רגישים או שתילה של תוכנות זדוניות באמתלה של הורדה של טפסים מקוונים״, מוסיף כרמי. ״בנוסף, יש את הדף של טופס התלונה של משרד החינוך שמכיל פרטים אישיים ואינו מאובטח כלל בתעודת אבטחה, דבר שיאפשר לתוקף שמחובר לאותה הרשת לדלות את אותם פרטים״
מנגד, בחברת אבטחת מידע ישראלית טוענים כי ״נכון שמדובר במשהו שלא אמור להיות, בטח שלא באתר ממשלתי שמכיל מידע רגיש על תלמידים, אך הסיטואציה יכולה להתרחש רק אם התוקף נמצא על אותה רשת אינטרנט. למשל גלישה על אותה רשת WiFi בבית קפה״.
ממשרד החינוך נמסר בתגובה: ״משרד החינוך מפעיל משאבים רבים כדי להבטיח את שמירת המידע ברמת אבטחה גבוהה ביותר. בתוך כך, אתרי האינטרנט של המשרד נסרקים באופן תדיר, מעמיק ויסודי על ידי צוותי המקצוע המיוחדים לאבטחת מידע של משרד החינוך וכן על ידי היחידה להגנת הסייבר בממשלה (יהב) אשר לטענות שהובאו על ידי העיתון, מבהירים במשרד כי הן נבדקו על ידנו וגם על ידי היחידה להגנת הסייבר בממשלה. הבדיקה לא העלתה ממצאים מיוחדים. ככל שיש בידי העיתון מידע אחר, המשרד ישמח לבדוק אותו באופן יסודי ומעמיק".
ארגון שמרני יוצא נגד משרד החינוך: "צ'אט הבינה המלאכותית החדש מבצע הנדסת תודעה"
הושקעו מיליונים - המורים לא חייבים להשתתף: המכשולים בדרכה של תכנית הדגל של משרד החינוך
פרסומת | פתיתים של תקווה
משרד החינוך בבעיה: רק 70% מהמורים הביעו נכונות לחזור ללמד בצפון
קיש מוציא את מקצועות המתמטיקה והמדעים מהמזכירות הפדגוגית - ומעורר סערה במשרד החינוך