Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов

Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.

Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.

NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.

Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.

NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.

Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.

NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.

#новость