Пользователь «Хабрахабра» рассказал о взломе сайта Рособрнадзора с данными 14 млн выпускников вузов Статьи редакции

Он не предупредил ведомство об уязвимости, но пообещал не использовать информацию в корыстных целях.

Пользователь сайта «Хабрахабр» под псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным 14 млн выпускников вузов.

NoraQ утверждает, что обнаружил уязвимость в сервисе проверки подлинности дипломов о высшем образовании, с помощью которого можно проверить введённые реквизиты в федеральном реестре документов об образовании.

Пользователь обнаружил, что через поля для ввода данных можно передавать команды серверу и таким образом найти и скачать полную базу выпускников. NoraQ утверждает, что получил информацию о дипломах 14 млн выпускников вузов, узнал номера ИНН и СНИЛС каждого, год рождения, национальность, а также названия учебных заведений и год поступления. Общий объём базы данных составил 5 ГБ.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, IP заблокировали или ещё что-то? Нет!

NoraQ, пользователь «Хабрахабра»

NoraQ признался, что не предупреждал администрацию сайта об уязвимости. По словам пользователя, он не намерен использовать полученную информацию в корыстных целях.

Текст об уязвимости в сервисе Рособрнадзора стал первой публикацией NoraQ на «Хабрахабре». Он зарегистрировался на сайте 28 января 2018 года. Рособрнадзор пока не отреагировал на информацию о возможной уязвимости.

NoraQ предупредил, что описанные им действия подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации». По этой статье может грозить до двух лет лишения свободы за копирование информации и до четырёх лет за копирование в корыстных целях.

0
35 комментариев
Написать комментарий...
Волосатое Стекло

Блядь, теперь главное чтоб какой-нибудь долбоёб из думы, не решил что хабр плохо влияет на молодёжь и надо его запретить.

Ответить
Развернуть ветку
Игорь Швец

Мелко плаваете, гуглить по "60% россиян одобрили создание отдельного для стран БРИКС интернета".

Ответить
Развернуть ветку
Волосатое Стекло

Читал, мне кажеться надо заканчивать проводить опросы среди пенсионеров и под ними иметь ввиду «всех россиян».

Ответить
Развернуть ветку
Ruslan Almazov

мертвых* пенсионеров

Ответить
Развернуть ветку
Artem Matvienko

Выборка деформирована. Зачем ВЦИОм опрашивал непользователей интернета, которым совершенно до пизды этот ваш интернет (где "молодёжь днями и ночами пропадает") - остаётся загадкой.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Artem Matvienko

ну госкомпания, определенно не самый надежный поставщик данных)

Ответить
Развернуть ветку
Игорь Швец

Я к тому, что неспроста запустили такую новость, готовят общественность видимо к чему то.

Ответить
Развернуть ветку
Василий Водокачкин

Дак к тому и готовят. Там нет многоходовок. Там полуходовки недоходвки одни и сплошные.

Ответить
Развернуть ветку
33_rublya

Необязательно проводить среди пенсионеров, главное - правильно составить вопросы.

Ответить
Развернуть ветку
Stanislav Zaycev

эти 60 процентов - чайники, которые думают, что это спасет от взломов. я не особо спец, но элементарная логика говорит, что не спасет. зато какие бабки под эту туфту выделят и можно будет освоить!

Ответить
Развернуть ветку
Рамиль Газетдинов

Вечные 60%

Ответить
Развернуть ветку
Роман Тымцив

Согласно опросам, большинство россиян поддерживают расстрел большинства россиян

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Волосатое Стекло

Зная наших ребят из белокаменной, можно ожидать все. Скажут что то в духе «Начитаеться молодежь ваших бабровхабров а потом пойдут сайты правительства ломать! Негоже! Пусть бухают в падиках! »

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вы в федеральном розыске

Но хабр реально плохо влияет на молодёжь. Там нельзя обращаться на ТЫ, например. И сливают всех неугодных партии

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

А я просто пропустил время, когда там можно было стать своим. Тогда было не надо. Теперь уже особо не войдешь с моими базовыми знаниями.

Ответить
Развернуть ветку
Serge Arsentiev

Чисто технически - чтобы опубликовать "бомбу" на Хабре за 1 день по свежей регистрации - надо ведь _как минимум_ быть одобренным модератором, а скорее всего быть кем-то из старожилов, по договоренности пишущим на горячую тему от анонимного ника?
Так что Хабр тут выступает с не очень правильной стороны - просто из правил хорошего тона, они (как это я понимаю), должны были проверить наличие уязвимости, связаться с админами ресурса, получить официальный ответ (Данные получены, что-то предпринято) .. и только после этого публиковать материал - возможно в урезанном виде ...

Ответить
Развернуть ветку
Максим Федоров
Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Алексей Тарасов

Зачем так сложно. Гос структуры, которые позволяют иметь себя в дырищи "SQL Injection", заткнутся на первом vpn-е.

Ответить
Развернуть ветку
Reb Rending

Можно просто остановиться на новом ноуте и публичной вафельке?

Ответить
Развернуть ветку
Vitaly Markov

Хакнутый звучит круче. :)

Ответить
Развернуть ветку
Serge Arsentiev

Камеры везде, в ТЦ их много, в McDonalds по-моему тоже изрядно.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Ну акк-то создал, допустим, а кто это пропустил к публикации, и почему?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Зашибись, а когда эта тусовочка прореху в системе жизнеобеспечения Москвы нароёт, тоже "просекут фишку" и опубликуют?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Ну я предположил что мутная история. Когда они публиковали инфу про уязвимость роутеров Билайна, с детальными инструкциями как ползать по чужим компам - уже было несколько за гранью.
Но там четко Билайн забил на обращения - и стал шевелиться только после публикации (и то не сразу).
 
Здесь ситуация совсем другая.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Публиковать можно. Подставляться нельзя. Как тут правильно написали выше - один дурак написал, другой (это я добавляю), авторизовал на публикацию - а проблемы будет огребать весь Runet в виде дополнительных ограничений чего угодно.

Ответить
Развернуть ветку
Александр Колесниченко

Премия Дарвина полагается)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Александр Аббасов

Интересно, это выдуманный персонаж (очередной вброс информации) или просто начинающий хакер, который просто застал запыленный журнал, где описываются классические приёмы SQL инъекций? Но если это правда, мне грустно за то, что у нас до сих пор там несерьезно относятся к безопасности в таких учреждениях. Денег ведь хватать должно на качественные реализации ...

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Serge Arsentiev

Александр, а куда можно сбыть данные про этих выпускников - если через 1-2 года большая часть из них перекочует на headhunter вместе с придуманными успехами на первых местах работы?
Это как неуловимый Джо, который никому не нужен со своими персональными данными.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Versetti

Интереснее возможность через такую уязвимость добавить запись об образовании и если и не запросить легальное восстановление несуществующего диплома, то успешно чекать несуществующее образование работодателем. Впрочем, сервис прикрыли оперативно; молодцы.

Ответить
Развернуть ветку
Versetti

http://frdocheck.obrnadzor.gov.ru уже не открывается

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
32 комментария
Раскрывать всегда