Оффтоп Albert Khabibrakhimov
10 692

Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов

Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.

В закладки

Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.

NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.

Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, IP заблокировали или ещё что-то? Нет!

NoraQ
пользователь «Хабрахабра»

NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.

Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.

NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.

#новость

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 35, "likes": 44, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 32477, "is_wide": false, "is_ugc": false, "date": "Mon, 29 Jan 2018 20:41:00 +0300" }
{ "id": 32477, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/32477\/get","add":"\/comments\/32477\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/32477"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

35 комментариев 35 комм.

Популярные

По порядку

Написать комментарий...
59

Блядь, теперь главное чтоб какой-нибудь долбоёб из думы, не решил что хабр плохо влияет на молодёжь и надо его запретить.

Ответить
23

Мелко плаваете, гуглить по "60% россиян одобрили создание отдельного для стран БРИКС интернета".

Ответить
31

Читал, мне кажеться надо заканчивать проводить опросы среди пенсионеров и под ними иметь ввиду «всех россиян».

Ответить
12

мертвых* пенсионеров

Ответить
5

Выборка деформирована. Зачем ВЦИОм опрашивал непользователей интернета, которым совершенно до пизды этот ваш интернет (где "молодёжь днями и ночами пропадает") - остаётся загадкой.

Ответить
2

загадки таки тут нет
статистика -- та еще продажная дрянь

Ответить
0

ну госкомпания, определенно не самый надежный поставщик данных)

Ответить
2

Я к тому, что неспроста запустили такую новость, готовят общественность видимо к чему то.

Ответить
0

Дак к тому и готовят. Там нет многоходовок. Там полуходовки недоходвки одни и сплошные.

Ответить
0

Необязательно проводить среди пенсионеров, главное - правильно составить вопросы.

Ответить
2

эти 60 процентов - чайники, которые думают, что это спасет от взломов. я не особо спец, но элементарная логика говорит, что не спасет. зато какие бабки под эту туфту выделят и можно будет освоить!

Ответить
1

Согласно опросам, большинство россиян поддерживают расстрел большинства россиян

Ответить

Комментарий удален

5

Зная наших ребят из белокаменной, можно ожидать все. Скажут что то в духе «Начитаеться молодежь ваших бабровхабров а потом пойдут сайты правительства ломать! Негоже! Пусть бухают в падиках! »

Ответить

Комментарий удален

1

Но хабр реально плохо влияет на молодёжь. Там нельзя обращаться на ТЫ, например. И сливают всех неугодных партии

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

1

А я просто пропустил время, когда там можно было стать своим. Тогда было не надо. Теперь уже особо не войдешь с моими базовыми знаниями.

Ответить
0

Чисто технически - чтобы опубликовать "бомбу" на Хабре за 1 день по свежей регистрации - надо ведь _как минимум_ быть одобренным модератором, а скорее всего быть кем-то из старожилов, по договоренности пишущим на горячую тему от анонимного ника?
Так что Хабр тут выступает с не очень правильной стороны - просто из правил хорошего тона, они (как это я понимаю), должны были проверить наличие уязвимости, связаться с админами ресурса, получить официальный ответ (Данные получены, что-то предпринято) .. и только после этого публиковать материал - возможно в урезанном виде ...

Ответить

Комментарий удален

13

ну а если там (впн)-(бесплатный временный vds в азии)-(другой впн)-(другой бесплатный временный vds в европе)-(третий впн)-(третий бесплатный временный vds в австралии)-(четвертый впн)-(четвертый бесплатный временный vds в азии) и все происходило в макдоналдс в Ростове (чувак приехал за налик на попутках, личный мобильный оставил в квартире в москве) и подключался через хакнутый wifi в ТЦ и ноутбук (новый, ранее в сеть он не выходил) он потом сжег и уничтожил

Ответить

Комментарий удален

2

Зачем так сложно. Гос структуры, которые позволяют иметь себя в дырищи "SQL Injection", заткнутся на первом vpn-е.

Ответить
0

Можно просто остановиться на новом ноуте и публичной вафельке?

Ответить
0

Хакнутый звучит круче. :)

Ответить
0

Камеры везде, в ТЦ их много, в McDonalds по-моему тоже изрядно.

Ответить

Комментарий удален

Комментарий удален

1

Ну акк-то создал, допустим, а кто это пропустил к публикации, и почему?

Ответить

Комментарий удален

0

Зашибись, а когда эта тусовочка прореху в системе жизнеобеспечения Москвы нароёт, тоже "просекут фишку" и опубликуют?

Ответить

Комментарий удален

0

Ну я предположил что мутная история. Когда они публиковали инфу про уязвимость роутеров Билайна, с детальными инструкциями как ползать по чужим компам - уже было несколько за гранью.
Но там четко Билайн забил на обращения - и стал шевелиться только после публикации (и то не сразу).
 
Здесь ситуация совсем другая.

Ответить

Комментарий удален

0

Публиковать можно. Подставляться нельзя. Как тут правильно написали выше - один дурак написал, другой (это я добавляю), авторизовал на публикацию - а проблемы будет огребать весь Runet в виде дополнительных ограничений чего угодно.

Ответить
0

Премия Дарвина полагается)

Ответить

Комментарий удален

1

Интересно, это выдуманный персонаж (очередной вброс информации) или просто начинающий хакер, который просто застал запыленный журнал, где описываются классические приёмы SQL инъекций? Но если это правда, мне грустно за то, что у нас до сих пор там несерьезно относятся к безопасности в таких учреждениях. Денег ведь хватать должно на качественные реализации ...

Ответить
6

Я как-то планировал в тендерах участвовать по разработке для гос структур. Оформил все документы, ключи и доступы. А потом наивное дитя обнаружило, что все на откатах. Профессионализм, выполнение тз, сроки? Все это - хуйня для людей, размещающих тендеры. Либо откат, либо минимальная цена.

Кого можно привлечь на подобные работы? Правильно - школьников...

Пусть пожинают плоды. Может быть начнут думать об ответственности для чиновников, а не для хакеров.

Ответить
0

Хотя, последнее предложение тоже писало наивное дитя.

Ответить
0

Александр, а куда можно сбыть данные про этих выпускников - если через 1-2 года большая часть из них перекочует на headhunter вместе с придуманными успехами на первых местах работы?
Это как неуловимый Джо, который никому не нужен со своими персональными данными.

Ответить
0

СНИЛС вроде как пожизненный.
Через 3 года будет массовый перевод пенсионных накоплений миллиона человек в серый фонд, который через полгода обанкротится, например.

Ответить
1

Интереснее возможность через такую уязвимость добавить запись об образовании и если и не запросить легальное восстановление несуществующего диплома, то успешно чекать несуществующее образование работодателем. Впрочем, сервис прикрыли оперативно; молодцы.

Ответить
0

http://frdocheck.obrnadzor.gov.ru уже не открывается

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления