Пользователь «Хабрахабра» заявил о взломе сайта Рособрнадзора с данными 14 миллионов человек Статьи редакции
Он не намерен продавать информацию о дипломах и просто хотел рассказать об уязвимости.
Пользователь форума «Хабрахабр» NoraQ рассказал, как ему удалось взломать базу образовательных документов Рособрнадзора (Федеральной службы по надзору в сфере образования и науки). По его словам, он получил доступ к данным 14 миллионов выпускников вузов.
Не рекомендуем повторять за пользователем «Хабрахабра», так как за неправомерный доступ к компьютерной информации в России установлена уголовная ответственность по статье 272 УК РФ.
На сайте ведомства есть форма проверки подлинности дипломов, которая связана с федеральным реестром документов о высшем образовании по всей России. NoraQ обнаружил в ней уязвимость: через поля ввода данных можно передавать команды серверу и открыть полную базу.
В итоге NoraQ получил доступ к документам 14 миллионов выпускников и студентов, где указаны ФИО, домашние адреса, номера ИНН и СНИЛС, год рождения, а также дипломы с серией, номером и годами поступления-окончания. Общий вес базы данных составил 5 гигабайт.
Как признался пользователь «Хабрахабра», он не передавал информацию об уязвимости в Рособрнадзор. NoraQ добавил, что пользовался сайтом не со своего IP, чтобы «не стали искать виноватого».
А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, IP заблокировали или ещё что-то? Нет!
TJ обратился к NoraQ за комментарием и к Рособрнадзору за разъяснением ситуации, но пока не получил ответа.
Хотел бы заметить, что по сути, через эту уязвимость можно было добавлять туда записи и вполне легально (на сколько я в курсе), запрашивать восстановление диплома. Остаётся только догадываться, воспользовался ли кто-то этим или нет :)
ШОК! Этот программист получил высшее образование за две минуты!
Ну, я пошел...
Комментарий недоступен
С учетом, что у них там настолько банальная уязвимость и на бекенде вообще никакой валидации не было, то, мне кажется, что может и долбоящеры)
Очень показательно как наши заботятся о персональных данных в РФ
Читал ещё с утра про это. Ну че, молодец. Надеюсь, айпишник в логах не засветился и мудаки его не поймают.
И нет, я не оправдываю преступников. Кто не в курсе, на Хабре уже продолжительное время форсится история в поддержку хакеров, добровольно заявивших об уязвимости в системе контроля оплаты проезда, и будучи ЗА ЭТО привлечены к ответственности. Автор этого поста написал, что не сдал уязвимость добровольно как раз учитывая опыт тех ребят.
К слову, сайт лёг через 20 минут после публикации, хоть тут оперативно отработали, хотя я, все же, думаю, что это эффект хабра.
Slade, чуть опередили нас, дополнил вашу статью из своей. Спасибо!
Спасибо вам. Просто с обеда ждал, думал, что вы напишите, решил сам черкануть, в меру своих сих, ибо случай просто феноменальный. Повезло, что колонки с паспортными данными хоть пустые были.
А почему не прислали к нам раньше? Можете просто ставить ссылкой через инструмент или присылать к нам в личные сообщения в соцсетях — мы не всегда можем отследить что-то профильное и крутое. Но всё равно спасибо ещё раз)
Я первый раз просто и был не в курсе, как это все работает :)
В обед с коллегами поржали, что-то не сразу догадался вас пропушить. Теперь буду поопытней :)
Кул, буду ждать!
Классика.
класека
Если в США нашёл дыру в безопасности - поощрение (если конечно сообщил), а у нас поощрение в виде статьи 272 УК РФ, даже если с хорошим умыслом. Хотя бы надо было лучше анонимное письмо написать их одминам/программистам и только после этого делать выводы (проигнорировали, но предупреждал; закрыли, но не поощрили) и публиковать.
Ну кстати не. Хомяков рассказывал, как американский Старбакс вместо благодарности угрожал ему пиздюлями за найденную уязвимость.
В США все также.
Именно поэтому Крис Касперски туда и уехал.
А он тут причем ? В США насколько я понимаю он уехал устроившись там в Американскую компанию.
Есть много примеров того, что там так же?
На английском не загуглю такое, а на русском про такое не пишут. Ссылки попадались, но я их не запоминаю.
Вот зато про шифрование сылка с хабра как раз попалась : https://arstechnica.com/tech-policy/2017/03/man-jailed-indefinitely-for-refusing-to-decrypt-hard-drives-loses-appeal/
https://www.google.ru/search?ie=UTF-8&hl=ru&q=Francis%20Rawls&gws_rd=ssl
Сидит уже два года за отказ расшифровать свои жесткие диски.
Кажется, этот чувак не профессиональный хакер (а он вроде бы студент). Ваши ставки, поймают ли его, даже несмотря на сокрытие айпи?
Ставлю на то, что не поймают.
Поймают: Хабр в реестре РКН.
И что они там поймают? Айпишник выходной ноды тора?)
Поймают нечистый замысел с помощью экстрасенсов. И выйдут на след Госдепа.
Ну, если логи на сайте ведутся, то может чего и поймают. Я не думаю, что он туда с тора заходил: он ведь не знал, что найдёт баг. Да и 5 гигов заебешься через тор качать.
Короче, могут найти, я думаю, если напрягутся. Но напрягаться, скорее всего, они не будут. Свою зарплату в $800 они и так получат, а начальство Хабр не читает, скорее всего не заметят даже.
На хабре он зарегался в день публикации. Вероятно и там адрес скрывает.
Комментарий недоступен
Ну а че, наняли по блату небось програмизда, который сын друга детства, ну и он взял с полки книжку по php, изданную в начале нулевых, да и накатал по-быстрому все, как там написано.
Ему похуй, что не экранировано: деньги получил, а у самого диплома нет.
Комментарий недоступен