Пользователь "Хабрахабра" рассказал об уязвимости сайта Рособрнадзора, позволившей ему скачать данные 14 млн выпускников вузов
30 янв 2018 21:40 #65701
от ICT
ICT создал тему: Пользователь "Хабрахабра" рассказал об уязвимости сайта Рособрнадзора, позволившей ему скачать данные 14 млн выпускников вузов
Пользователь популярного ресурса "Хабрахабр" под ником NoraQ
сообщил
, что ему удалось сравнительно легко получить доступ к базе, содержащей данные 14 млн выпускников вузов, через сайт Рособрнадзора. Как поясняет
TJ
, на сайте ведомства пользователям доступна форма проверки подлинности дипломов, связанная с федеральным реестром документов о высшем образовании. NoraQ обнаружил в этой форме уязвимость, которая позволяла использовать поля ввода данных для отправки команд на сервер и получения доступа ко всей базе. В процессе изысканий NoraQ скачал базу, которая включала сведения о дипломах 14 млн бывших студентов, а также их СНИЛС, ИНН, даты рождения, сведения о национальности и другие данные. В таблице также присутствовал раздел с паспортными данными, но все поля в нем были пустыми. Кроме того, NoraQ скачал данные о пользователях системы: логины, адреса электронной почты и хэши паролей. Общий объем скачанных данных составил 5 ГБ. При этом NoraQ отметил, что скачивание заняло достаточно времени, но его вмешательство, по всей видимости, осталось незамеченным. Он также подчеркнул, что не собирается использовать полученные данные в корыстных целях. Опубликованный 29 января пост NoraQ довольно быстро привлек внимание многих СМИ. Вскоре после этого пользователь обновил запись и сообщил, что администрация сайта Рособрнадзора оперативно исправила уязвимость и закрыла возможность доступа к базе. Также он заявил, что на деле не скачивал базу, а только имитировал процесс в надежде, что администрация обратит внимание на подозрительный трафик. Напомним, в середине января стало известно, что правительство РФ
одобрило
план мероприятий по информационной безопасности программы "Цифровая экономика", который предусматривает выплаты хакерам за найденные уязвимости в различных IT-системах.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.