Пользователь ресурса "Хабрахабр" под псевдонимом NoraQ заявил, что нашел уязвимость на сайте Рособрнадзора, через которую получил доступ к персональным данным 14 млн бывших студентов.
Уязвимость он нашел
в сервисе Рособрнадзора по проверке действительности дипломов о высшем образовании.
Этот сервис проверяет введенные пользователем реквизиты в федеральном реестре сведений о документах об образовании.
NoraQ обнаружил, что через поля для ввода реквизитов можно передавать команды серверу. Таким образом, он сумел скачать из реестра любые данные.
По словам пользователя, он получил данные около 14 млн бывших студентов, получивших дипломы. Среди этих данных,
их ИНН и СНИЛСов, названия вузов, где они учились, а также логины, адреса электронной почты и хэши паролей 1322 пользователей системы.
В этой же таблице были поля под серии и номера паспортов, но они были не заполнены, отметил он. Общий вес базы составил 5 Гб.
NoraQ сказал, что он не предупредил администрацию сайта об уязвимости. Также он добавил, что не собирается использовать полученную информацию в корыстных целях.
Как отмечает "Медуза", сервис проверки действительности дипломов после выхода публикации на "Хабрахабре" начал работать с перебоями. На момент написания данной новости он открывался.
