Хакер рассказал как он взломал сайт Рособрнадзора и получил доступ к данным 14 млн россиян
30.01.2018
В понедельник, 29 января, на сайте "Хабрахабр" появилась интересная публикация от имени пользователя под псевдонимом NoraQ. По его словам, ему удалось взломать сайт Федеральной службы по надзору в сфере образования и науки и получить доступ к данным 14 млн россиян.
Как сообщает NoraQ, взлом был осуществлен от нечего делать, и к нему привела случайность. Исследователь открыл на сайте Рособрнадзора форму для проверки подлинности дипломов об образовании и стал вводить в ее поля "всякую чепуху". Как оказалось, введение в одно из полей 1- приводит к SQL-инъекции, благодаря чему исследователь смог отправить на сервер соответствующие команды и получить доступ к базе данных.
Когда NoraQ ввел в поле 1-, то неожиданно для себя получил ответ. Так как была видна еще и часть запроса, исследователь предположил, что это SELECT запрос. NoraQ обнулил действие записанного в php-скрипте запроса, а потом с помощью переменной вставил свой. С целью обнулить запрос исследователь добавил невозможное условие и закомментировал его последующие строки. Тем не менее, пришло сообщение о том, что документ не найден.
NoraQ попытался вместо невозможного условия поставить очевидное, но снова безуспешно. Тогда он решил определить запрашиваемые БД данные и их количество. Узнав систему и версию базы данных, исследователь также определил содержащиеся в ней таблицы и столбцы.
Зная структуру БД, NoraQ написал скрипт на Python и скачал самые интересные на его взгляд данные. Помимо сведений о дипломах, таблицы содержали данные по датам рождения и национальности. Также были обнаружены поля для номеров и серий паспортов, однако они оказались незаполненными.
