Пользователь популярного ресурса «Хабрахабр», пишущий в сети под ником NoraQ, вызвал скандал, обнародовав инструкцию о том, как можно взломать сайт Рособрнадзора (Федеральной службы по надзору в сфере образования и науки). По его собственному признанию, NoraQ уже воспользовался алгоритмом для взлома, получив доступ к персональным данным 14 миллионов выпускников российских вузов, а также информации – общий объем которой составляет 5 гигабайт.
Как заявил хакер, он не намерен использовать полученные базы данных в корыстных целях, однако не собирается и предупреждать администрацию взломанного сайта об обнаруженных уязвимых местах. Тем более, что Рособнадзор, как утверждает NoraQ, утечку информации даже не заметил.
В распоряжение хакера, судя по всему, попала база дипломов о высшем образовании – таблица, в которой содержатся списки выпускников вузов и университетов с указанием названия учебного заведения, СНИЛС, ИНН, даты рождения, национальности. Кроме того, NoraQ теперь имеет доступ к данным 1322 пользователей системы, в том числе админа (логин, e-mail, хэш пароля), а также к таблице с информацией о 3391 учебном заведении (руководитель, e-mail, телефон, сведения о лицензии).
Публикация на сайте «Хабрахабр», снабженная пометкой: «Внимание: не пытайтесь повторять действия, описанные в публикации и им подобные. Помните о ст. 272 УК РФ „Неправомерный доступ к компьютерной информации“», вызвала широкую дискуссию в социальных сетях. Большинство комментаторов оказались не на стороне хакера и указывают, что если информация о взломе сайта правдива, то совершено уголовное преступление.
«Он, конечно, не прав. Возможно даже по статье. Надо сначала писать админам и фиксить, а потом уже хвалиться», – отмечает в своем комментарии генеральный директор «1С-Битрикс» Сергей Рыжиков. После вспыхнувшего скандала NoraQ разместил обновление к своему посту, в котором указывает, что администрация сайта федеральной службы оперативно отреагировала на обсуждение в соцсетях, приносит свои извинения и даже заявляет, что «никакой базы у него нет» – не исключено, что испугавшись уголовного преследования.
«Большое спасибо всем, кто эту новость разнес, – пишет взломщик.
– Надеюсь, эта история закрыта, так как баг на оригинальном сайте пофиксили. Буквально через час после опубликования статьи сайт ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости. ...Приношу извинения администрации сайта за то, что пришлось так кардинально сообщить об уязвимости, возможно, я был глубоко не прав. ...Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении 3-х дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят. Еще раз приношу извинения всем, кого это коснулось».
Российские чиновники не заметили дыру
Как хакер NoraQ получил персональные данные 14 миллионов россиян с помощью сайта Рособнадзора.