ICQ
Навигация
Главная
Карта сайта
Форум сайта
Поиск по сайту
Обратная связь

Разделы
Разное про ICQ
Для мобильного
Для компьютера
Сетевые новости

ICQ
Статус ICQ на сайте
Проверка ICQ статуса
Информер статуса ICQ

Загрузки
Файлы
IPDBrute
Скачать ICQ
Скачать JIMM
Мобильная ICQ

Магазин
On-Line ICQ магазин

RSS канал
Нас посетили
Понедельник1260
Вторник1073
Среда588
Четверг1209
Пятница1143
Суббота1121
Воскресенье534
Сейчас online:75
Было всего:6361095
Рекорд:28766
Ваш IP адрес

Ваш IP: 54.162.121.80
 

Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов

  | Сетевые новости 

Исправлена уязвимость, открывавшая доступ к персональным данным выпускников российских вузов

29 января на ресурсе «Хабрахабр» пользователь под ником NoraQ рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки. Уязвимость, по словам NoraQ, позволила ему получить персональные данные 14 млн выпускников российских вузов.

На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом».

В созданной ветке «Хабрахабра» автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены.

Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!»

По словам NoraQ, им двигал всего лишь спортивный интерес, он не преследует цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта.

К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайтe ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.


   Вернуться назад  
Поиск по сайту




Подписка на новости

Введите свой Email:



Опрос
Кто какой программой для общения пользуется на смартфоне или планшете?

WhatsApp
Viber
Skype
Telegram
Facebook Messenger
Instagram
Vkontakte
Одноклассники
Mail.ru Агент
ICQ
ooVoo
Другая

  

  Результаты: 1865
На форуме
 1. ICQ для Windows 10
Время : 24/04/2018 в 00:19:51
luxemburg
 2. Mail.Ru Agent
Время : 24/04/2018 в 00:18:25
luxemburg
 3. ПРОДАМ АККАУНТЫ ДРУГВОКРУГ
Время : 23/04/2018 в 20:36:00
Vadi94
 4. Прокси списками от Insorg
Время : 18/04/2018 в 10:26:30
Insorg
 5. Services DDoS attacks
Время : 17/04/2018 в 12:59:40
Trinity
© Copyright 2005-2017 «Русская аська