טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

פרטים אישיים של רבבות תלמידים נחשפו ברשת בשל מחדל אבטחת מידע

חומר רגיש שאוחסן באתרים שסיפקה חברת סקולי לעשרות בתי ספר הופיע במנועי חיפוש וכלל מספרי תעודות זהות, מספרי טלפון וסיסמאות של מורים, תלמידים ובוגרים

תגובות

פרטים רגישים של עשרות אלפי תלמידי בתי ספר נחשפו ברשת והיו נגישים לכל גולש, כך חשף בחודשים האחרונים חוקר האבטחה אמיתי דן. מדובר בפרטים של תלמידים בקרוב למאה בתי ספר שונים. בנוסף, נחשפו פרטיהם של כ-20 אלף בוגרים בכמה מבתי הספר משנת הקמתם, חלקם לפני קום המדינה. לדברי חברת סקולי, האחראית לאתרים שבהם נחשפו הפרטים, הבעיה נבעה מכך שמשתמשים בתוך בית הספר העלו קבצים רגישים לשרתים שהיו חשופים ברשת.

הנתונים כוללים בחלק מהמקרים שמות מלאים של ההורים והתלמידים, מספרי טלפון ניידים ונייחים, מספרי תעודות זהות, כתובות דואר אלקטרוני, כתובות מגורים ופרטי המורים וכן סיסמאות. מידע מסוג זה יכול לאפשר לגורמים עוינים להגיע בקלות לפרטים נוספים ולאפשר התחזות וסחר במידע של התלמידים, ההורים, הבוגרים והמורים למטרות פליליות. מדובר בשורה ארוכה של רשימות הקשורות לבתי הספר השונים, רובן מכילות בין מאות עד לאלפי רשומות, ובקובץ הגדול ביותר יש כ-15 אלף רשומות.

תלמידי תיכון. למצולמים אין קשר לכתבה
מיכל פתאל

דן סיפר ל"הארץ" כי הכל התחיל במחקר שערך בשיתוף פעולה עם חוקר האבטחה שמואל קרדילו שעסק בשירותי הענן של אמזון. השניים ניסו להבין איך עובדים שרתי האחסון של שירות הענן של אמזון ואם ניתן לחשוף את מערכת הקבצים והתיקיות, שלא אמורים להיות שקופים לגולשים מבחוץ. החוקרים גילו שבחלק מהמקרים אפשר לגלות את מה שאמזון מכנה Buckets, תיקיות אחסון שהיא מציעה בשירות הענן שלה.

שני החוקרים פיתחו תוכנה המאפשרת לגלות, בעזרת הנתונים שאמזון מספקת בעצמה (טווח כתובות IP), רשימות של באקטים, ולאחר מכן לגלוש לאותם באקטים ולראות אם רשימת הקבצים שנמצאת תחת אותו באקט גלויה.

פרטי תלמידים כפי שהופיעו בתוצאות החיפוש בגוגל

דן הסביר שלצורך התפעול השוטף של המערכת, פעמים רבות הלקוח פותח את הבאקטים לצורך שימוש רגיל ויומיומי. השיטה הקלה, שעלולה להיות מסוכנת, היא לפתוח את כל הבאקטים מבלי להגדיר לשירות אילו משתמשים רשאים לגשת לקבצים מסוימים ואיך. ואולם, שיטה זו עלולה לחשוף קבצים רבים של משתמשים שלא השכילו להתנהל באופן בטוח בענן.

לנושא של בתי הספר, שאותו חקר ללא קרדילו, הגיע דן לאחר שהבין שחשיפת המחקר שלהם עלולה לגרום לכך שאתרים ישראלים שחשופים בגוגל ייפגעו. לאחר חיפוש מהיר בגוגל התברר שניתן להגיע למידע רב ללא צורך בידע בהאקינג או בתוכנות מיוחדות. "גיליתי שאכן קיים מידע חשוף, ובשפה העברית במיוחד גיליתי שממשקים של חברת סקולי, שמספקת אתרי אינטרנט לבתי ספר, הם אלה שמובילים בתוצאות בגוגל בכל הנוגע לחשיפה של באקטים", אומר דן. "במלים אחרות, מידע רב באתרים שהפעילה החברה היה חשוף לגוגל ואונדקס על ידי הרובוטים של מנוע החיפוש".

רשימת תלמידי בית ספר שנחשפה בשל מחדל האבטחה
אמיתי דן

דן הסביר שסקולי סגרו את האפשרות לצפות ברשימת כל הלינקים להורדת הקבצים זמן קצר לפני שפנה אליהם. ואולם, זה לא פתר את כל הבעיות שקיימות בשירות, וקבצים רבים נותרו חשופים, בין היתר, כיוון שהאתרים לא חסמו את האפשרות לסריקה בידי רובוטים של מנועי חיפוש כמו גוגל. רק כמה חודשים לאחר מכן, בעקבות פניות חוזרות של דן ופנייה של עיתון "הארץ" נעשו פעולות נוספות לשיפור האבטחה. למרות זאת, חלק מהקבצים נותר זמין בזיכרון המטמון של גוגל.

ממשרד החינוך נמסר כי "חברת סקולי פועלת על פי תקנות אבטחה מקובלות. לאחר בדיקה שנערכה, הובהר שלא מדובר בפרצת אבטחה אלא בטעות אנוש שתוקנה מיידית. בחברת סקולי הבטיחו לפעול לחיזוק מיומנויות תפעול המערכת, על מנת למנוע מקרים דומים בעתיד".

מחברת סקולי נמסר: "החוקר אמיתי דן הפנה את תשומת לבנו לכך שחלק ממנהלי האתרים של סקולי מעלים לאזורים החשופים לציבור קבצים אשר מכילים חומרים רגישים. עוד בטרם העדכון בוצעו שינויים והונהגו הגדרות מחמירות יותר שאינן מאפשרות לנצל תופעה זו. אנו פועלים יחד עם בתי הספר למנוע העלאת חומרים פרטיים לאזורים ציבוריים".

 

 



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות