Один из пользователей «Хабрахабра» по имени NoraQ о своем путешествии по просторам сайта Федеральной службы по надзору в сфере образования и науки.
Программист решил проверить данные диплома о высшем образовании и случайно наткнулся на уязвимость. Так ему удалось попасть в недры федерального реестра. Оказалось, что передавать команды на сервер оказалось возможно с помощью формы для заполнения данных. А внутри огромная база данных — 14 миллионов бывших студентов с указанием информации о дипломах (номер, серия, год поступления и окончания), даты рождения, номера СНИЛС, ИНН и поля под паспортные данные (которые, к счастью студентов, оказались пустыми).
Впрочем, это не все. NoraQ обнаружил вторую таблицу, заполненную ФИО граждан, и третью — с данными пользователей системы вместе с их зашифрованными паролями.
По словам NoraQ, он провел на портале всю ночь, и за это время никто даже не заподозрил его присутствия.
Вот такая история. Закончилась она, правда, нормально. После поста программиста, в Рособрнадзоре уязвимость пофиксили, теперь все работает как часы. И без всяких утечек.
Внимание! Не пытайтесь повторять действия, описанные пользователем NoraQ, и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».