Студент хакнул сайт российского ведомства и скачал данные 14 миллионов россиян. Читайте на Cossa.ru

30 января 2018, 13:32

Студент хакнул сайт российского ведомства и скачал данные 14 миллионов россиян

Без злого умысла.

Пользователь под ником NoraQ описал на Хабрахабре уязвимость портала Росообрнадзора, которая позволила скачать реквизиты 14 миллионов выпускников. NoraQ обнаружил лазейку в сервисе, который подтверждает подлинность документов о высшем образовании. На момент написания заметки страница недоступна.

С помощью поля для ввода реквизитов NoraQ удалось отправлять команды серверу сайта, а затем получить данные о дипломах и другой личной информации выпускников. По словам хакера, за три дня взлом так никто и не заметил: «не произошло ни блокировки IP, ни резкого отключения сервиса».

«По объёмам получилось около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочего. База весом 5 ГБ».

При этом NoraQ не предупредил администрацию портала об уязвимости, но отметил, что не собирается использовать полученную информацию. По закону такие действия расцениваются как незаконный доступ к электронным данным. Согласно статье 272 УК РФ, за копирование данных грозит срок до двух лет заключения, а при установлении корыстных целей — до четырёх лет.

Через час после публикации на Хабрахабре работу главного сайта ограничили, а спустя несколько часов он вернулся в прежний режим. Ошибку устранили. NoraQ извинился за нестандартное сообщение об уязвимости перед администрацией площадки и «всеми, кому пришлось из-за этого тяжело»:

«Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении трёх дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят».

Ранее мы рассказывали о масштабном взломе японской биржи Coincheck, с которой похитили полмиллиарда долларов в альткоинах NEM. Вчера руководство криптобиржи пообещало возместить потери клиентов из собственного кармана.

Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru

Телеграм Коссы — здесь самый быстрый диджитал и самые честные обсуждения: @cossaru

📬 Письма Коссы — рассылка о маркетинге и бизнесе в интернете. Раз в неделю, без инфошума: cossa.pulse.is

✉️✨
Письма Коссы — лаконичная рассылка для тех, кто ценит своё время: cossa.pulse.is

Вход на cossa.ru

Уже есть аккаунт?
Авторизуйся через VK:
Vkontakte
Не забудьте написать email на странице своего профиля для управления рассылкой