Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов Статьи редакции
Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.
Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.
NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.
Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.
NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.
Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.
NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.
Блядь, теперь главное чтоб какой-нибудь долбоёб из думы, не решил что хабр плохо влияет на молодёжь и надо его запретить.
Мелко плаваете, гуглить по "60% россиян одобрили создание отдельного для стран БРИКС интернета".
Читал, мне кажеться надо заканчивать проводить опросы среди пенсионеров и под ними иметь ввиду «всех россиян».
мертвых* пенсионеров
Выборка деформирована. Зачем ВЦИОм опрашивал непользователей интернета, которым совершенно до пизды этот ваш интернет (где "молодёжь днями и ночами пропадает") - остаётся загадкой.
Комментарий недоступен
ну госкомпания, определенно не самый надежный поставщик данных)
Я к тому, что неспроста запустили такую новость, готовят общественность видимо к чему то.
Дак к тому и готовят. Там нет многоходовок. Там полуходовки недоходвки одни и сплошные.
Необязательно проводить среди пенсионеров, главное - правильно составить вопросы.
эти 60 процентов - чайники, которые думают, что это спасет от взломов. я не особо спец, но элементарная логика говорит, что не спасет. зато какие бабки под эту туфту выделят и можно будет освоить!
Вечные 60%
Согласно опросам, большинство россиян поддерживают расстрел большинства россиян
Комментарий удален модератором
Зная наших ребят из белокаменной, можно ожидать все. Скажут что то в духе «Начитаеться молодежь ваших бабровхабров а потом пойдут сайты правительства ломать! Негоже! Пусть бухают в падиках! »
Комментарий удален модератором
Но хабр реально плохо влияет на молодёжь. Там нельзя обращаться на ТЫ, например. И сливают всех неугодных партии
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
А я просто пропустил время, когда там можно было стать своим. Тогда было не надо. Теперь уже особо не войдешь с моими базовыми знаниями.
Чисто технически - чтобы опубликовать "бомбу" на Хабре за 1 день по свежей регистрации - надо ведь _как минимум_ быть одобренным модератором, а скорее всего быть кем-то из старожилов, по договоренности пишущим на горячую тему от анонимного ника?
Так что Хабр тут выступает с не очень правильной стороны - просто из правил хорошего тона, они (как это я понимаю), должны были проверить наличие уязвимости, связаться с админами ресурса, получить официальный ответ (Данные получены, что-то предпринято) .. и только после этого публиковать материал - возможно в урезанном виде ...
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Зачем так сложно. Гос структуры, которые позволяют иметь себя в дырищи "SQL Injection", заткнутся на первом vpn-е.
Можно просто остановиться на новом ноуте и публичной вафельке?
Хакнутый звучит круче. :)
Камеры везде, в ТЦ их много, в McDonalds по-моему тоже изрядно.
Комментарий удален модератором
Комментарий удален модератором
Ну акк-то создал, допустим, а кто это пропустил к публикации, и почему?
Комментарий удален модератором
Зашибись, а когда эта тусовочка прореху в системе жизнеобеспечения Москвы нароёт, тоже "просекут фишку" и опубликуют?
Комментарий удален модератором
Ну я предположил что мутная история. Когда они публиковали инфу про уязвимость роутеров Билайна, с детальными инструкциями как ползать по чужим компам - уже было несколько за гранью.
Но там четко Билайн забил на обращения - и стал шевелиться только после публикации (и то не сразу).
Здесь ситуация совсем другая.
Комментарий удален модератором
Публиковать можно. Подставляться нельзя. Как тут правильно написали выше - один дурак написал, другой (это я добавляю), авторизовал на публикацию - а проблемы будет огребать весь Runet в виде дополнительных ограничений чего угодно.
Премия Дарвина полагается)
Комментарий удален модератором
Интересно, это выдуманный персонаж (очередной вброс информации) или просто начинающий хакер, который просто застал запыленный журнал, где описываются классические приёмы SQL инъекций? Но если это правда, мне грустно за то, что у нас до сих пор там несерьезно относятся к безопасности в таких учреждениях. Денег ведь хватать должно на качественные реализации ...
Комментарий недоступен
Комментарий недоступен
Александр, а куда можно сбыть данные про этих выпускников - если через 1-2 года большая часть из них перекочует на headhunter вместе с придуманными успехами на первых местах работы?
Это как неуловимый Джо, который никому не нужен со своими персональными данными.
Комментарий недоступен
Интереснее возможность через такую уязвимость добавить запись об образовании и если и не запросить легальное восстановление несуществующего диплома, то успешно чекать несуществующее образование работодателем. Впрочем, сервис прикрыли оперативно; молодцы.
http://frdocheck.obrnadzor.gov.ru уже не открывается
Комментарий удален модератором