Пользователь «Хабрахабра» рассказал, что он смог выкачать с сайта Рособрнадзора данные 14 миллионов выпускников вузов.⁠⁠

Пользователь «Хабрахабра» с псевдонимом NoraQ рассказал об уязвимости на сайте Рособрнадзора, которая якобы позволила ему получить доступ к данным миллионов россиян.

По словам NoraQ, уязвимость нашлась в сервисе проверки действительности дипломов о высшем образовании. Этот сервис проверяет введенные пользователем реквизиты в федеральном реестре сведений о документах об образовании.

NoraQ обнаружил, что через поля для ввода реквизитов можно передавать команды серверу. Таким образом он смог найти и скачать таблицы, содержащие информацию о примерно 14 миллионах бывших студентов.

В одной таблице, по словам пользователя, была собрана информация о дипломах (серия, номер, год поступления и окончания), а также дата рождения, национальность, название учебного образования и номера ИНН и СНИЛС выпускников. В этой же таблице были поля под серии и номера паспортов, но они были не заполнены.

В другой таблице находились только ФИО граждан, получивших образование, а в третьей — информация о пользователях системы (в том числе их зашифрованные пароли). Общий вес базы составил 5 Гб.

NoraQ признался, что он не предупреждал администрацию сайта об уязвимости. По его словам, он не намерен использовать полученную информацию в корыстных целях.

Сервис проверки действительности дипломов после выхода публикации на «Хабрахабре» начал работать с перебоями.