Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов
В понедельник, 29 января, на ресурсе «Хабрахабр» один из пользователей рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки (Рособрнадзор). Уязвимость, по словам пользователя, позволила ему получить персональные данные 14 млн выпускников российских вузов.
На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта пользователь с ником NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом».
Автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены.
Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!»
По словам хакера, он не преследовал цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта.
К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайту ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.
Источник: 3Dnews
Читайте также:
ПодписатьсяЗа специфические требования к электронной подписи введут штрафы
Минкомсвязь разместила на портале общественных обсуждений проект федерального закона, предусматривающего штрафы для операторов государственных информационных систем (ГИС) за требование о наличии в квалифицированном сертификате ключа проверки электронной подписи информации, ограничивающей его применение в иных информационных системах.
Более 30 банков намерены с июля перейти на биометрическую систему идентификации
После 1 июля 2018 года заработает единая система удаленной идентификации клиентов банков с использованием их биометрических данных. Об этом заявила коммерческий директор проектного офиса "Цифровая идентичность" компании "Ростелеком" Юлия Дудкина.