צילום: shutterstock
צילום: shutterstock

מומחי סייבר: פרצנו לרוב האוניברסיטאות בישראל

חוקרי ICS Security איתרו פרצות אבטחה משמעותיות ב-17 מתוך 20 מוסדות אקדמיים שבדקו. הפרצות אפשרו בין היתר לשנות מבחנים, להעלות ציונים ולהשיג את הסיסמאות של מאות אלפי סטודנטים ומרצים. רוב הליקויים תוקנו

תמונה כללית
טל שחף | פורסם: 19/08/2021
בזמן שאוניברסיטת בר אילן נמצאת תחת מתקפת סייבר, מתברר שפרצות בהגנת הסייבר של קרוב לעשרים אוניברסיטאות ומכללות בישראל אפשרו דליפה של נתוני מאות אלפי סטודנטים ומרצים בישראל. כפי שמתפרסם כעת לראשונה ב-ynet, החדירה למערכות האוניברסיטה אפשרה לפורצים גישה למבחנים לפני שנערכו ואפילו לשנות ציונים של סטודנטים. כמו כן, היא אפשרה גישה לכל הדואר האלקטרוני של הסטודנטים ושל המרצים.

עוד כתבות בתחום הסייבר:

באירוע זה לא נגרם נזק בסופו של דבר, שכן מדובר היה בפעילות של "האקרים לבנים" (האקרים שמאתרים חולשות אבטחה כדי לדווח לאחראים עליהן) שנועדה לגלות פרצות במערכות ההגנה של המוסדות האקדמיים ולהתריע בפניהם על הסכנה. מאחורי היוזמה ניצב אבישי סביר, סמנכ"ל הטכנולוגיות בחברת הגנת הסייבר ICS security. בפוסט שהוא מפרסם הוא מודה שזו לא הייתה משימה קשה: "בשביל מומחה בתחום אבטחת המידע זה לא נחשב אתגר אמיתי".
סביר מתאר את האירוע שבו הוא ועובד נוסף, אלי משיח, סרקו מוסד אחר מוסד ומצאו פרצות משמעותיות ב-17 מתוך 20 מוסדות שנבדקו. "אתם תופסים את זה? 85 אחוזים מהמוסדות שבדקנו נמצאו פגיעים! כמובן שגם במוסדות שבהם לא מצאנו ממצאים מהירים, סביר מאוד שעל ידי בדיקה מעמיקה היינו מצליחים לדוג מהם כמה דגי זהב, אך בבדיקה מעמיקה ניתן למצוא ליקויי אבטחה גם באמזון, גוגל או פייסבוק...", כותב סביר.
תמונה כללית
אבישי סבירICS
לדבריו, המידע שהורד על ידם מאתרי האוניברסיטאות כולל פרטים אישיים של מאות אלפי סטודנטים ובוגרים ואלפי מרצים – שם, תעודת זהות, תאריך לידה, כתובת, טלפון, כתובת דוא"ל וארבע ספרות אחרונות של כרטיס אשראי. אבל עיקר המחדל נעוץ בעובדה שמרבית המוסדות האקדמאיים מחזיקים בסיסמאות של המשתמשים כשהן גלויות. במקרה של סטודנטים זה מאפשר לפורצים לצפות בציונים וכן להירשם או לבטל הרשמה לקורסים ולמבחנים. במקרה של המרצים, זה מאפשר ליצור קשר ישירות עם הסטודנטים בשם המרצה, לצפות ולשנות מבחנים מקוונים, להזין או להחליף ציונים של סטודנטים וכל פעולה אחרת שמותרת למרצה.
מקור: ICSרשימות אינסופיות של פרטי סטודנטים ומרצים (מקור: ICS)
קמפיין ריגול הסייבר הסיני שנחשף לאחרונה מפנה את תשומת הלב לנסיונות המרוכזים להשיג מידע על מחקרים ופטנטים מתוך האוניברסיטאות. פרצות כמו אלה שנחשפו על ידי חברת ICS יכולות לאפשר לתוקפים להיכנס לדואר האלקטרוני הארגוני של החוקרים ולקרוא את ההתכתבויות והמסמכים שהם מחליפים עם חבריהם לצוותי המחקר. כמו כן, חשיפת נתוני עובדי יחידות המחשב יכולה לאפשר איתור של סיסמאות שמאפשרות חדירה לכל מערכת שקיימת באוניברסיטה.
איסוף הפרטים המלאים של המשתמשים מאפשר לייצר מתקפות פישינג בהיקף נרחב, וכמו כן להתחזות למשתמשים האלה ולהיכנס לחשבונות המדיה החברתית והחברות השונות שהם לקוחות שלהן.
מנכ"ל ICS, אילן שעיה, אומר: "זה אכן ליקוי חמור מאוד. יש בידינו אלפי סיסמאות של מרצים, ומאות אלפי סיסמאות של סטודנטים, בעצם רוב הסטודנטים בארץ". ב-ICS מדגישים כי שמירת סיסמאות המשתמשים כשהן גלויות ולא מוצפנות היא טעות חמורה, שמחירה עלול להתבטא בדליפה נרחבת של כל נתוני האוניברסיטה. לדברי שעיה החברה פנתה לכל המוסדות שנמצאו לא מוגנים וההיענות היתה מהירה, בעיקר כשהתברר שפורצים למערכת יוכלו לשנות ציונים של סטודנטים: "אבישי ישב איתם ולימד איך לסגור את הפרצות". לדבריו מרבית הליקויים אכן תוקנו ואולם כל האוניברסיטאות ביקשו שהשם שלהן לא יוזכר בפרסומים אודות האירוע הזה.
מקור: ICSאחת מאלפי רשומות המרצים שדלפו (מקור: ICS)
חברת ICS Security הוקמה ב-2016 על ידי אילן שעיה ושמעון זיגדון, והיא מתמחה במערכות הגנת סייבר לחברות בתחומי התעשייה והתשתיות. בין לקוחותיה בישראל נמנים נמל אשדוד, מפעלי ים המלח, מי אביבים וגופים בחו"ל. כמו כן, החברה מבצעת עבור לקוחות בסינגפור ובטורקיה בדיקות חדירות (PT) והערכות פגיעות. במסגרת בדיקות העמידות שהחברה עושה למוסדות היא חשפה לאחרונה פירצה במערכת של אחת החברות להשלמת בגרויות שאיפשרה הדלפה של פרטיהם של 27 אלף סטודנטים ולפני כן הצליחה למצוא גם פרצה במחשבי רשות המסים שאפשרה חשיפת פרטיהם של 200 אלף נישומים.
מאוניברסיטת בן גוריון נמסר: "הממצאים שהוצגו על ידי אבישי סביר נבדקו ותוקנו על ידי חברה חיצונית התומכת במודל". מאוניברסיטת תל אביב נמסר: "נעשתה פנייה לאוניברסיטת תל אביב על ידי אדם פרטי בנושא ולשמחתנו הבדיקה הייתה תקינה ולא נמצאו ליקויים". מאוניברסיטת בר אילן נמסר: "לפני כחצי שנה אותו אדם פנה למחלקת אבטחת מידע אצלנו על ממצא במערכת המודל והנושא טופל בעדכון גרסה של המודל". מאוניברסיטה העברית נמסר כי הם לא מכירים פנייה בנושא זה אצלם וגם לא במוסדות אחרים ולהערכתם "אין פה שום סיפור". גם מהמכללה למינהל נמסר שאינם מכירים את האירוע. אוניברסיטאות ומכללות אחרות שפנינו אליהן לא הגיבו.
מצאתם טעות בכתבה? כתבו לנו על זה
לכתבה זו 17 תגובות
הוספת תגובה
17

תגובות

close-fullscreen-comment
הוספת תגובה
6.
על זה משלמים לאוניברסיטאות?

הם אפילו לא יודעים מה עושים עם סיסמאות

בושה
| 21/08/2021 | 06:38
הגיבו לתגובה
5.
פאק יכולתי במקום ללמוד בתואר ללמוד האקינג ולשנות ציונים (לת)

אנונימי
| 19/08/2021 | 21:19
הגיבו לתגובה
4.
עד שלא יהיה חוק הגנה על המידע..

לאסוף מידע קל.. אתה פשוט מחייב את מי שרוצה שירות לתת מידע או לא לקבל שירות. אחר כך שאלוהים ישמור על המידע למי אכפת? עד שהמדינה לא תחייב את מחזיקי המידע לסטנדרט אבטחה מסויים, אף אחד לא יעשה כלום והכל יהיה פרוץ. או שמישהו ירים את הכפפה ויתבע במליונים מוסדות שחשפו מידע. אבל לא יודע עם יש בכלל חוק שאפשר להתמך בו.. סתם מפקירים את הצרכנים. כמו שאיך באמת רשות להגנת הצרכן ככה אין הגנה על המידע.

רפי
| 19/08/2021 | 17:22
הגיבו לתגובה
comment-2-comment
חוק הגנה על המידע?

באמת? אתה מצפה מהמדינה שרק מנסה לאסוף על כולנו מידע(ראה ערך המאגר הביומטרי ומערכת המעקב של השב"כ) שתחוקק חוק כזה? הרבה יותר סביר שהם ידרשו לקבל אליהם את כל המידע למאגר שמאובטח ע"י בננה וירטואלית וחתול עם כיפה וציציות שיושב מול קערת שמנת.

מידען
| 23/08/2021 | 12:29
הגיבו לתגובה
3.
איך מגיעים לרמה כזו של האקריות?

האם צריכים תשתיות מיוחדות בשביל זה, שקיימות להם ולאחרים לא, ואם כן מה בדיוק התהליך שמתבצע? לא ההיבט הטכני מעניין אותי פה, רק מנסה להבין למה מוסדות בישראל לא מתמגנים? כי לא יכולים?

אפי
| 19/08/2021 | 16:19
הגיבו לתגובה
comment-2-comment
זו הרמה הכי נמוכה של האקינג.. גם המרואיינים אומרים את זה. (לת)

ללא שם
| 19/08/2021 | 17:25
הגיבו לתגובה
comment-2-comment
קמצנות (לת)

קראקר
| 20/08/2021 | 15:47
הגיבו לתגובה
2.
אצלנו מחזיקים את הפרטים על דיסקט. הכי טוב.

ככה אי אפשר לגנוב.

עובדת טכניון
| 19/08/2021 | 10:35
הגיבו לתגובה
comment-2-comment
אני מקווה שזה על פלופי דיסק

אחרת אתם בבעיה

ללא שם
| 23/08/2021 | 14:42
הגיבו לתגובה
1.
המתקפה שמתוארת בכתבה אינה חוקית

כשאתה עודה למישהו "בדיקת אבטחה" שהוא לא הזמין זה פשוט לא חוקי! הליצנים בכתבה דומים למתקין סורגים שפורץ ללקוחות הבייתה, גונב תכשיטים וחוזר למחרת עם הצעת מחיר לסורגים !

אחד שיודע
| 19/08/2021 | 07:31
הגיבו לתגובה
comment-2-comment
חוקי לחלוטין

גוף המרכז את ההשכלה הגבוהה בארץ, הזמין את ה PT ושילם עליו לחברה.

שחר
| 19/08/2021 | 08:34
הגיבו לתגובה
comment-2-comment
לגמרי חוקי, כמו שהסביר שחר.

במקומך לא הייתי קורא לעצמי "אחד שיודע" אם זה מה שאתה יודע.

יוסף
| 19/08/2021 | 09:08
הגיבו לתגובה
comment-2-comment
בזכות הפורצים רוב הליקויים תוקנו. הם רק מחזקים את ההגנה שלנו (לת)

מלאך
| 19/08/2021 | 09:10
הגיבו לתגובה
comment-2-comment
ואיך אתה יודע שהזמינו את הבדיקה?

אתה לא חושב שאם הייתה מוזמנת אז היו מראיינים את הגוף הזה שיסביר מה היו המטרות במקום לתת לחלק מהאוניברסיטאות להתחמק מלענות?

עוד אחד
| 19/08/2021 | 16:20
הגיבו לתגובה
comment-2-comment
מעולם לא פגשתי אחד שיודע ובאמת ידע (לת)

ללא שם
| 19/08/2021 | 17:22
הגיבו לתגובה
comment-2-comment
לאף גוף אין אינטרס לפרסם שפרצו לו.

הסיבה שמעולם לא שמעת על פריצת סייבר לבנק היא כי לאף אחד אין אינטרס לפרסם את זה. לא לפורץ ולא לנפרץ.

ללא שם
| 19/08/2021 | 17:24
הגיבו לתגובה
comment-2-comment
אם זה נכון אז החוק טועה וצריך לשנות אותו.

אן שכולנו פשוט נחכה בסבלנות עד שהאקרים ישלטו בנו.

אביב
| 22/08/2021 | 11:20
הגיבו לתגובה
לכל התגובות
0