Блогер проинформировал, что взломал сайт Рособрнадзора

Пользователь форума «Хабрахабр» NoraQ сказал, как ему удалось взломать базу образовательных документов Рособрнадзора (Федеральной службы по надзору в сфере образования и науки).

NoraQ рассказывает, что сайт ведомства он взломал с помощью сервиса проверки дипломов о высшем образовании. NoraQ нашел в ней уязвимость: через поля ввода данных можно передавать команды серверу и открыть полную базу. В ней отыскалась информация о 14 миллионах дипломов и столько же записей о личных данных студентов. «Вы думаете, что хоть кто-то отметил?»

NoraQ сообщил, что он не предупредил администрацию сайта об уязвимости. Среди этих данных оказались имена, фамилии, даты рождения, номера СНИЛС и ИНН, логины и адреса электронной почты и прочее. Из-за нехитрой структуры сайта NoraQ сумел получить доступ к нему: «Голый SQL Injection. Ну и сессию необходимо закрывать, без диплома-то никак», — написал NoraQ. Общий вес базы данных составил более 5 гигабайт. По утверждению NoraQ, никто не обратил внимания на подозрительную активность: «А сейчас представьте, сколько времени это качалось». По утверждению хакера, за три дня взлом так никто и не заметил: «не произошло ни блокировки IP, ни резкого отключения сервиса».

Он уверил, что не будет использовать имеющуюся базу в корыстных целях.

Администрация сайта спохватилась только после публикации заметок NoraQ приблизительно через час доступ на сайт ограничили, а через несколько часов работа была восстановлена, а обнаруженная уязвимость устранена.

«Попытаюсь оправдать себя: конечно, никакой базы у меня нет, на протяжении трёх дней я эмулировал скачивание, надеясь, что особый трафик заподозрят».

Интернет

Написать комментарий

Наверх
Яндекс.Метрика