Студент хакнул сайт российского ведомства и скачал данные 14 миллионов россиян
Без злого умысла.
Пользователь под ником NoraQ описал на Хабрахабре уязвимость портала Росообрнадзора, которая позволила скачать реквизиты 14 миллионов выпускников. NoraQ обнаружил лазейку в сервисе, который подтверждает подлинность документов о высшем образовании. На момент написания заметки страница недоступна.
С помощью поля для ввода реквизитов NoraQ удалось отправлять команды серверу сайта, а затем получить данные о дипломах и другой личной информации выпускников. По словам хакера, за три дня взлом так никто и не заметил: «не произошло ни блокировки IP, ни резкого отключения сервиса».
«По объёмам получилось около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочего. База весом 5 ГБ».
При этом NoraQ не предупредил администрацию портала об уязвимости, но отметил, что не собирается использовать полученную информацию. По закону такие действия расцениваются как незаконный доступ к электронным данным. Согласно статье 272 УК РФ, за копирование данных грозит срок до двух лет заключения, а при установлении корыстных целей — до четырёх лет.
Через час после публикации на Хабрахабре работу главного сайта ограничили, а спустя несколько часов он вернулся в прежний режим. Ошибку устранили. NoraQ извинился за нестандартное сообщение об уязвимости перед администрацией площадки и «всеми, кому пришлось из-за этого тяжело»:
«Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении трёх дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят».
Ранее мы рассказывали о масштабном взломе японской биржи Coincheck, с которой похитили полмиллиарда долларов в альткоинах NEM. Вчера руководство криптобиржи пообещало возместить потери клиентов из собственного кармана.
Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru
Эффективная и выгодная реклама с сервисом от МегаФона
Широкий выбор рекламных каналов, более 100 параметров по интересам, подробная аналитика и другие возможности уже ждут в Личном кабинете. А еще кешбэк 100% за запуск рекламы в первый месяц и еще 10% — каждый месяц.