vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Хакер получил доступ к данным 14 миллионов россиян на сайте Минобразования

Дата публикации: 30.01.2018
Количество просмотров: 905
Автор:

Историю о том, как это вышло, сам хакер с ником NoraQ рассказал на сайте Хабрхабр.

Удалось с помощью SQL-инъекций получить доступ к базе данных ведомства.  

По словам самого NoraQ, доступ к данным он получил совершенно случайно. Просто открыл форму проверки подлинности дипломов и ввёл в одно из полей 1". Это привело к SQL-инъекции и молодой человек отправил на сервер команды, дающие доступ к базе данных.  

Теперь уже отступать стало неинтересно, и хакер продолжил исследования. После нескольких экспериментов, зная структуру базы данных, он написал скрипт на Python получил доступ к сведениям о дипломах.

В таблицах содержались данные по дипломам, датам рождения и национальности. Поля для паспортных данных заполнены не были. "По объёмам получилось около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб",  –  пишет NoraQ.   

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, ip заблокировали или ещё что-то? НЕТ!".

Администрация сайта спохватилась только после публикации заметок  NoraQ. Примерно через час доступ на сайт ограничили, а через несколько часов работа была восстановлена, а обнаруженная уязвимость устранена.

"Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении трёх дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят",  –  так заканчивает свою историю  NoraQ.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/100622/haker-poluchil-dostup-k-dannyim-14-millionov-rossiyan-na-sayte-minobrazovaniya.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться