פרצה חמורה למאגר נתוני תלמידים

מחדל אבטחתי אותר במערכת מקוונת חדשה שהייתה אמורה להיכנס לשימוש בבתי הספר, לאחר שנער בן 18 הצליח לחדור אל המאגר ולדלות ממנו פרטים אישיים על אודות התלמידים. למרות שהתריע על הליקוי בפני חברת הפיתוח של התוכנה - הפרצה לא תוקנה. בחברה מכחישים כעת כי התבצעה חדירה למערכת

פרצת אבטחה חמורה אותרה במערכת המקוונת החדשה שאמור היה משרד החינוך להפעיל בבתי הספר ברחבי הארץ. חושף הפרצה, נער בן 18, אומנם התריע על המחדל בפני חברת הפיתוח של התוכנה, אך זו לא מיהרה לטפל בבעיה. במשרד החינוך טוענים כי הפרצה מתייחסת לאפליקציה שלא אושרה לשימוש, בעוד שבחברת התוכנה מכחישים כניסה לא מורשית למערכת.

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת

המערכת הממוחשבת של "סמארט סקול" הייתה אמורה להיות הפתרון האידיאלי לשמירה על קשר בין הורים ומורים. באמצעות המערכת המקוונת היו אמורים ההורים לקבל דיווח שוטף על ההתנהלות היום יומית של ילדיהם, מציונים, חיסורים ואיחורים, ועד להודעות אישיות מצוות המורים – וכל זאת באופן אישי וחסוי.

תלמיד תיכון מצפון הארץ שבחן את המערכת, איתר בה פרצת אבטחה חמורה שאפשרה לו להתחבר למערכת ללא קושי ולהיחשף למידע אישי על אודות התלמידים. לאחר חשיפת הלקוי האבטחתי, פנה הנער לחברת הפיתוח שמספקת את השירות למשרד החינוך והתריע בפניה כי המידע הרגיש מצוי בסכנה. למרות שבחברה הבטיחו כי הנושא יטופל בהקדם, גם בשבועיים שלאחר פנייתו של הנער נותרה הגישה לחשבונות התלמידים פתוחה לכל מבין עניין.

בין שאר החומרים הרגישים במאגר, ניתן למצוא רשימה של שמות תלמידים ושל מספרי תעודות הזהות שלהם, רשימת ציונים ואף גלריית תמונות של הילדים. מיותר לציין כי חשיפת המידע הרגיש הזה עלולה להביא לכדי סחיטה, גניבה ואף להתעללות חברתית בין ילדים.

ממשרד החינוך נמסר בתגובה: "מערכת 'סמאר טסקול' עברה בדיקת אבטחה קפדנית. יחד עם זאת, הפרצה המתוארת היא באפליקציה מסוימת של המערכת שלא אושרה על ידי משרד החינוך לשימוש בבתי הספר. הספק הונחה מידית להגיש את האפליקציה לבדיקה ולאישור, ולהימנע מהפעלתה בבתי ספר ללא אישור".

מחברת "סמארט סקול" נמסר: "סמארט סקול הינה חברה שפועלת מזה שמונה שנים במאות בתי ספר בכל רחבי הארץ ועובדת תחת תקני אבטחה מחמירים הנהוגים בבנקים וחברות אשראי. לפני מספר ימים (ולא שבועיים כמו שציינתם בכתבה) פנה אלינו תלמיד בטענה שמצא פירצת אבטחה. הודנו לו על ההתרעה והנושא הועבר לטיפול מיידי במחלקת הפיתוח. רצוננו להדגיש כי פירצת האבטחה תוקנה לחלוטין והטיפול בה הסתיים עוד לפני שידור הכתבה. אנו מודעים לרגישות המידע במערכת ומתייחסים ברצינות לכל התרעת אבטחה".