В базах данных олимпиады для старшеклассников, обеспечивающей победителям поступление в вуз вне конкурса, обнаружились серьезные уязвимости: хакеры потратили на их взлом всего секунду, изменив в коде три символа. Такие бреши на сайте могут позволить заинтересованным лицам получить задания заблаговременно и менять данные ответов во время олимпиады – в этом случае обоснованность льгот для олимпиадников вызывает большие сомнения.
В России проходят традиционные предметные олимпиады для школьников, которые владеют углубленными знаниями по тем или иным предметам и за счет них могут упростить себе поступление в вуз. Из-за пандемии коронавируса в этом году многие из этих соревнований перенесены в онлайн-формат, чтобы старшеклассники, несмотря на сложную эпидемиологическую обстановку, смогли обеспечить себе дополнительные баллы при поступлении в профильные учебные заведения или вовсе обойтись без экзаменов. Олимпиада первого уровня позволяет победителям получить бюджетное место в обход экзаменационных испытаний – это касается и топовых вузов страны: МГУ, МГИМО, СПбГУ, Физтеха, Бауманки, МИФИ и так далее. Для тех, кто успешно показал себя в ходе олимпиады и обошел других участников, сдача ЕГЭ уже не будет таким стрессом, как для большинства выпускников: главное условие для зачисления в вуз – набрать не менее 75 баллов по профильному предмету, а все остальные результаты не имеют значения. Неудивительно, что школьники активно борются за призовые места. Но насколько честна такая борьба?
Три символа в коде
Национальный исследовательский ядерный университет «МИФИ» проводит одну из наиболее популярных среди старшеклассников предметных олимпиад первого уровня. Регистрация и участие доступны на портале org.mephi.ru, и, как оказалось, сайт был далеко не лучшим образом защищен от хакерских атак. Как сообщает газета «Известия» со ссылкой на собственный источник из кругов кибервзломщиков, для того, чтобы получить доступ к базам олимпиады первого уровня МИФИ, потребовалось поменять в коде всего три символа – это заняло ровно одну секунду. Источник уточнил, что на сайте были выявлены SQL-инъекции и XSS-уязвимости, позволяющие заранее ознакомиться с олимпиадными заданиями, менять данные ответов непосредственно во время олимпиады, просматривать сессии и данные других пользователей, а также осуществить массовую выгрузку пользовательских данных, в том числе, персональную информацию, включая номера телефонов, адреса электронных почтовых ящиков и паспортные данные.
Эксперты, с которыми издание проконсультировалось относительно возможности взлома сайта олимпиады МИФИ, подтвердили, что цепочка, описанная хакером, действительно может оказаться рабочей, а замена нескольких символов кода открывает доступ к персональным данным и дает возможность выгрузить задания.
Проще некуда
«Известия» приводят комментарий независимого исследователя даркнета Олега Бахтадзе-Карнаухова, по словам которого, SQL-инъекция представляет собой один из наиболее легких способов взлома сайта. Нередко хакеры прибегают к автоматическим методам поиска уязвимостей в коде, которые можно использовать для атаки. Их наличие означает, что киберпреступник может очень быстро произвести замену нескольких символов и получить доступ к информации, содержащейся на ресурсе – в данном случае, это персональные данные олимпиады, задания и ответы на них. Эксперт отметил, что такого рода «дыры» возникают в тех случаях, когда сайт не тестируется должным образом на этапе программирования, хотя на выявление и исправление подобных ошибок нужно относительно немного времени.
Территориальные органы Роструда могут получить доступ к налоговой тайне российских граждан. Межведомственный обмен информацией нужен, чтобы противостоять нелегальной занятости и зарплатам в конвертах.
SQL-инъекция предполагает ввод комбинации, которую база данных может прочитать как команду к определенному действию – это и используют хакеры для получения доступа к ресурсу, вводя соответствующие запросы на языке программирования. Если сайт защищен от уязвимости, он просто не обработает запрос, в противном случае – выполнит введенную команду.
Примерно таким же образом дела обстоят с XSS-атаками, но там команды адресуются не базам данных, а скриптам на сервере: команда вставляется в ссылку, и на странице отображается информация, которая не предназначена для обычных пользователей.
Временно недоступен
В МИФИ отреагировали на запрос издания, сначала сообщив, что уязвимостей обнаружено не было. Но впоследствии, после изучения описанного алгоритма взлома, в вузе признали наличие ошибок в коде и сообщили, что на портале начата работа по выявлению возможных уязвимостей.
На момент написания статьи сайт с олимпиадой не работает, на портале размещено предупреждение: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».
Вероятно, данный инцидент обернется для МИФИ репутационными потерями, даже если уязвимости будут оперативно выявлены и исправлены. Ввиду перевода олимпиад в онлайн-режим безопасность сайтов с заданиями имеет критическое значение. Данный же инцидент заставляет усомниться в том, что сайты остальных олимпиад первого уровня надежно защищены, и победителями станут старшеклассники, обладающие наиболее глубокими знаниями по предмету, а не те, кто просто купил ответы у хакеров или без особого труда взломал сайт и подменил результаты.
