Пользователь Habrahabr взломал базу Федеральной службы по надзору в сфере образования и науки (Рособрнадзор) и получил доступ к персональным данным 14 миллионов россиян.

Хотя уязвимость устранили в течение часов после публикации, многие комментаторы осудили автора статьи, который обнародовал информацию, не сообщив ведомству об уязвимости.

Взломать сайт Рособрнадзора удалось с помощью SQL-инъекции. В распоряжении автора оказался огромный массив данных объемом 5 ГБайт:

  • Список 14 миллионов граждан РФ с высшим образованием.
  • Таблица дипломов, где помимо их серий и номеров были СНИЛС, ИНН и паспортные данные держателей.
  • Реестр пользователей системы, включавший более 1300 логинов и хэшей паролей.
  • Информация о почти 3400 учебных заведениях — их руководителях, e-mail, телефонах, номерах лицензий.

Автор отметил, что, несмотря на продолжительную загрузку, администраторы ведомства не смогли помешать процессу.

Вскоре после того как пользователь опубликовал свой пост, сайт Рособрнадзора ушел в оффлайн на несколько часов. Когда ресурс возобновил работу, уязвимость уже устранили.

Под постом развернулась обширная дискуссия, где автора не раз обвинили в недобросовестных действиях. Традиционная практика этичных хакеров состоит в том, чтобы заранее сообщать разработчикам об уязвимости, а в открытый доступ информацию выкладывать не раньше чем через три месяца.

Текст статьи включает множество технических данных, включая наименование базы данных, которую удалось взломать. Этот же продукт с открытым кодом используют многие другие государственные ведомства, а следовательно, злоумышленники могут использовать описанный метод для их взлома.

В свое оправдание автор статьи вспомнил историю Дениса Казьмина, Юрия Путина и Павла Андрюшина, которые в 2016 году научились подделывать билеты на подмосковные электрички. “Центральная пригородная пассажирская компания”, ГУП “Мосгортранс” и производитель билетов “Микротех” обвинили их в мошенничестве и заявили об ущербе в 2 миллиона рублей. Следственные органы предъявили хакерам обвинение в причинении имущественного ущерба (ст. 165 УК РФ), неправомерном доступе к компьютерной информации (ст. 272 УК РФ), создании и использовании вредоносных компьютерных программ (ст. 273 УК РФ).

В январе этого года в защиту Казьмина, Путина и Андрюшина анонимно выступила группа специалистов по ИБ Che Burashka. Они опубликовали на Habrahabr описание уязвимости и заявили, что в действиях хакеров не было корыстного умысла. В сентябре 2017 года Останкинский районный суд нашел в деле “неустранимые нарушения”, и обвиняемые избежали наказания.

В 2016 году началось другое разбирательство с этичным хакингом в транспортной сфере. Разработчик Игорь Шевцов обнаружил уязвимость карты “Тройка”, которая позволяла бесплатно пользоваться общественным транспортом. Представители Московского метрополитена связались с автором исследования и устранили ошибку, не предъявляя ему претензий. Тем не менее, Ишимский городской суд Тюменской области посчитал общественно опасной публикацию информации о способах подделки билетов и постановил закрыть доступ к статье Шевцова.

Категории: Хакеры