Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов
Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.
Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.
NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.
Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.
А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, IP заблокировали или ещё что-то? Нет!
NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.
Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.
NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.