Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов

Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.

Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.

NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.

Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, IP заблокировали или ещё что-то? Нет!

NoraQ, пользователь «Хабрахабра»

NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.

Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.

NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.

3030
35 комментариев

Блядь, теперь главное чтоб какой-нибудь долбоёб из думы, не решил что хабр плохо влияет на молодёжь и надо его запретить.

60

Мелко плаваете, гуглить по "60% россиян одобрили создание отдельного для стран БРИКС интернета".

23

Комментарий удалён модератором

Но хабр реально плохо влияет на молодёжь. Там нельзя обращаться на ТЫ, например. И сливают всех неугодных партии

1

Чисто технически - чтобы опубликовать "бомбу" на Хабре за 1 день по свежей регистрации - надо ведь _как минимум_ быть одобренным модератором, а скорее всего быть кем-то из старожилов, по договоренности пишущим на горячую тему от анонимного ника?
Так что Хабр тут выступает с не очень правильной стороны - просто из правил хорошего тона, они (как это я понимаю), должны были проверить наличие уязвимости, связаться с админами ресурса, получить официальный ответ (Данные получены, что-то предпринято) .. и только после этого публиковать материал - возможно в урезанном виде ...

1

Комментарий удалён модератором

Комментарий недоступен

13