Пользователь ресурса «Хабрахабр» заявил, что нашел уязвимость на сайте Рособрнадзора, через которую получил доступ к персональным данным 14 миллионов бывших студентов.
Это первая публикация пользователя под ником NoraQ, участником сообщества он стал ранее в понедельник, 29 января.
Уязвимость он обнаружил в сервисе Рособрнадзора, который позволяет пользователям сайта проверить в едином реестре данные дипломов, защищенных выпускниками российских вузов. Он определил версию использованной базы данных, ее структуру и сумел скачать из реестра все заинтересовавшие его данные.
По словам пользователя, он получил данные около 14 млн дипломников, в том числе номера их ИНН и СНИЛСов, названия вузов, где они учились, а также логины, адреса электронной почты и хэши паролей 1322 пользователей системы.
«База весом 5 гб, — написал NoraQ. — А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил?» На этот вопрос он ответил отрицательно. Предупредить администрацию сайта Рособрнадзора об уязвимости, он не планирует, скачанную информацию использовать в корыстных целях не будет.
Описанные пользователем действия могут подпадать под статью Уголовного кодекса о неправомерном доступе к компьютерной информации (ст. 272 УК РФ). «Он, конечно, не прав. Возможно даже по статье. Надо сначала писать админам и фиксить, а потом уже хвалиться и разглашать персональные данные людей», — заявил порталу d-russia.ru гендиректор «1С-Битрикс» Сергей Рыжиков.