Пользователь популярного ресурса "Хабрахабр" под ником NoraQ сообщил, что ему удалось сравнительно легко получить доступ к базе, содержащей данные 14 млн выпускников вузов, через сайт Рособрнадзора.
Как поясняет TJ, на сайте ведомства пользователям доступна форма проверки подлинности дипломов, связанная с федеральным реестром документов о высшем образовании. NoraQ обнаружил в этой форме уязвимость, которая позволяла использовать поля ввода данных для отправки команд на сервер и получения доступа ко всей базе.
В процессе изысканий NoraQ скачал базу, которая включала сведения о дипломах 14 млн бывших студентов, а также их СНИЛС, ИНН, даты рождения, сведения о национальности и другие данные. В таблице также присутствовал раздел с паспортными данными, но все поля в нем были пустыми. Кроме того, NoraQ скачал данные о пользователях системы: логины, адреса электронной почты и хэши паролей.
Общий объем скачанных данных составил 5 ГБ. При этом NoraQ отметил, что скачивание заняло достаточно времени, но его вмешательство, по всей видимости, осталось незамеченным. Он также подчеркнул, что не собирается использовать полученные данные в корыстных целях.
Опубликованный 29 января пост NoraQ довольно быстро привлек внимание многих СМИ. Вскоре после этого пользователь обновил запись и сообщил, что администрация сайта Рособрнадзора оперативно исправила уязвимость и закрыла возможность доступа к базе. Также он заявил, что на деле не скачивал базу, а только имитировал процесс в надежде, что администрация обратит внимание на подозрительный трафик.
Напомним, в середине января стало известно, что правительство РФ одобрило план мероприятий по информационной безопасности программы "Цифровая экономика", который предусматривает выплаты хакерам за найденные уязвимости в различных IT-системах.