Рособрнадзор «залатал дыру», из которой утекали данные о 14 миллионах студентов

80 0

Один из пользователей «Хабрахабра» по имени NoraQ написал о своем путешествии по просторам сайта Федеральной службы по надзору в сфере образования и науки.

Программист решил проверить данные диплома о высшем образовании и случайно наткнулся на уязвимость. Так ему удалось попасть в недры федерального реестра. Оказалось, что передавать команды на сервер оказалось возможно с помощью формы для заполнения данных. А внутри огромная база данных — 14 миллионов бывших студентов с указанием информации о дипломах (номер, серия, год поступления и окончания), даты рождения, номера СНИЛС, ИНН и поля под паспортные данные (которые, к счастью студентов, оказались пустыми).

Впрочем, это не все. NoraQ обнаружил вторую таблицу, заполненную ФИО граждан, и третью — с данными пользователей системы вместе с их зашифрованными паролями.

По словам NoraQ, он провел на портале всю ночь, и за это время никто даже не заподозрил его присутствия.

Вот такая история. Закончилась она, правда, нормально. После поста программиста, в Рособрнадзоре уязвимость пофиксили, теперь все работает как часы. И без всяких утечек.

Внимание! Не пытайтесь повторять действия, описанные пользователем NoraQ, и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

 

Подписываемся, следим @CyberAgency

Related Post

Chronicle. Глобальные перемены в мире кибербезопасности

Опубликовано - 25.01.2018 0
Компания Alphabet Inc., которая владеет акциями Google, запустит аналитическую платформу, которая позволит бизнесу анализировать информацию о собственной безопасности. Калифорнийский гигант…

Добавить комментарий