Пользователь «Хабрахабр» за пару часов взломал сайт Рособрнадзора

За время копирования 14 миллионов данных, никто даже не подумал заблокировать пользователя по IP.

Пользователь «Хабрахабр» за пару часов взломал сайт Рособрнадзора

Пользователь NoraQ опубликовал на «Хабрахабре» процесс взлома сайта Федеральной службы по надзору в сфере образования и науки (Рособрнадзор). Делалось это не со злым умыслом, но в итоге удалось получить данные 14 миллионов пользователей.

Проблема крылась в форме проверки подлинности дипломов, через формы ввода можно посылать команды серверу, в том числе открыть базу данных. Как результат — ФИО, СНИЛС, ИНН, даты рождения, номера паспортов и дипломов размером 5 ГБ. За подобные действия по статье 272 УК РФ можно попасть в тюрьму сроком до четырёх лет, поэтому повторять такое не стоит.

Форма проверки документов Рособрнадзора

Больше всего возмущает тот факт, что за всё это время пока качались файлы никто не подумал даже о блокировке IP или ещё какой-то защите, то есть у сайта Рособрнадзора, можно сказать, защита совсем отсутствует.

NoraQ отметил, что продавать полученные данные не собирается, а цель публикации рассказать о проблеме.