Пользователь «Хабрахабра» взломал сайт Рособрнадзора с данными 14 млн выпускников
Пользователь «Хабрахабра» с псевдонимом NoraQ на своей странице рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным миллионов россиян.
По словам NoraQ, уязвимость нашлась в сервисе проверки действительности дипломов о высшем образовании. Этот сервис проверяет введенные пользователем реквизиты в федеральном реестре сведений о документах об образовании.
"Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку. Вам либо покажут информацию о документе, либо скажут, что такого нет (но ещё рано обвинять соискателя в обмане, мало ли, что могло произойти)", — объясняет он.
Однако, как оказалось, через поля для ввода реквизитов можно передавать команды серверу. Таким образом он смог найти и скачать таблицы, содержащие информацию о примерно 14 миллионах бывших студентов.
"Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом. Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные", — пишет он.
Среди скачанных данных оказалась таблица с дипломами об образовании, СНИЛС, ИНН, паспортные данные, дата рождения, национальность и т.д. Общий вес базы составил 5 Гб.
" Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием", — резюмирует NoraQ.
