Пользователь «Хабрахабра» с псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным миллионов россиян.
По словам NoraQ, уязвимость нашлась в сервисе проверки действительности дипломов о высшем образовании. Этот сервис проверяет введенные пользователем реквизиты в федеральном реестре сведений о документах об образовании.
NoraQ обнаружил, что через поля для ввода реквизитов можно передавать команды серверу. Таким образом он смог найти и скачать таблицы, содержащие информацию о примерно 14 миллионах бывших студентов.
В одной таблице, по словам пользователя, была собрана информация о дипломах (серия, номер, год поступления и окончания), а также дата рождения, национальность, название учебного заведения и номера ИНН и СНИЛС выпускников. В этой же таблице были поля под серии и номера паспортов, но они были не заполнены.
В другой таблице находились только ФИО граждан, получивших образование, а в третьей — информация о пользователях системы (в том числе их зашифрованные пароли). Общий вес базы составил 5 Гб.
NoraQ признался, что он не предупреждал администрацию сайта об уязвимости. По его словам, он не намерен использовать полученную информацию в корыстных целях.
Сервис проверки действительности дипломов после выхода публикации на «Хабрахабре» начал работать с перебоями.
Внимание: не пытайтесь повторять действия, описанные пользователем NoraQ, и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».