Пользователь «Хабрахабр» за пару часов взломал сайт Рособрнадзора

Автор Данила Гаращенко 21:28 29.01.2018
- 1 +  3 641 3
Пользователь «Хабрахабр» за пару часов взломал сайт Рособрнадзора

Пользователь NoraQ опубликовал на «Хабрахабре» процесс взлома сайта Федеральной службы по надзору в сфере образования и науки (Рособрнадзор). Делалось это не со злым умыслом, но в итоге удалось получить данные 14 миллионов пользователей.

Проблема крылась в форме проверки подлинности дипломов, через формы ввода можно посылать команды серверу, в том числе открыть базу данных. Как результат — ФИО, СНИЛС, ИНН, даты рождения, номера паспортов и дипломов размером 5 ГБ. За подобные действия по статье 272 УК РФ можно попасть в тюрьму сроком до четырёх лет, поэтому повторять такое не стоит.

Форма проверки документов Рособрнадзора

Больше всего возмущает тот факт, что за всё это время пока качались файлы никто не подумал даже о блокировке IP или ещё какой-то защите, то есть у сайта Рособрнадзора, можно сказать, защита совсем отсутствует.

NoraQ отметил, что продавать полученные данные не собирается, а цель публикации рассказать о проблеме.

Хабы: ru

26.06.2019
MWC Shanghai 2019
06.09.2019
IFA 2019
02.08.2019
Evo 2019
21.08.2019
Gamescom 2019
03.10.2019
Игромир 2019
19.12.2019
Премьера «Звездные войны: Эпизод 9»
17.12.2020
Премьера «Аватар 2»
Все события

Комментарии

  1. Жесть, ну и чего он тогда в рособнадзор не написал письмо, а на хабр статью накатал. Сейчас то как раз кто-нибудь успеет этим воспользоваться...
    - 0 +
    1. По примеру сайта ЖД, когда в ответ на баг получаешь иск о взломе - решил не рисковать... PS информация из статьи))
      - 1 +
26.06.2019
MWC Shanghai 2019
06.09.2019
IFA 2019
02.08.2019
Evo 2019
21.08.2019
Gamescom 2019
03.10.2019
Игромир 2019
19.12.2019
Премьера «Звездные войны: Эпизод 9»
17.12.2020
Премьера «Аватар 2»
Все события