Чтобы получить доступ к базам данных олимпиады первого уровня, хакерам понадобилось изменить лишь три символа в коде. На это ушла ровно секунда времени. В НИЯУ МИФИ — вузе, который проводит взломанную отраслевую физико-математическую олимпиаду «Росатом», — признали наличие ошибок в коде и сообщили «Известиям» о незамедлительной работе по выявлению потенциальных уязвимостей на портале университета. Так как использование «дыр» на сайте потенциально позволяет заранее получить задачи и изменять данные ответов во время олимпиады, смотреть сессии и данные других пользователей, это ставит под вопрос легитимность льгот при поступлении олимпиадников в вузы.

В России в разгаре новый олимпиадный сезон. Многие состязания из-за пандемии COVID-19 перенесены в онлайн. Старшеклассники, которые хотят попробовать свои силы и заработать дополнительные бонусы для поступления в вуз, а возможно, даже получить шанс попасть в университет без экзаменов, активно включились в этот соревновательный процесс.

Напомним, что олимпиада первого уровня дает возможность победителю поступить в вуз без экзаменов, включая МГУ, МГИМО, Санкт-Петербургский госуниверситет, Физтех, Бауманку, МИФИ и др., то есть для победителя или призера этих интеллектуальных состязаний ЕГЭ уже не играет никакой роли. Важно, чтобы абитуриент набрал не меньше 75 баллов, причем только по главному предмету, соответствующему профилю олимпиады. Таким образом, независимо от оценок по другим ЕГЭ, а также от того, сколько школьников поступают в данный вуз, олимпийский призер будет в него зачислен.

Получается, что хакер теоретически может обеспечить поступление в лучшие вузы страны, поставив в неравные условия выпускников.

Здание НИЯУ МИФИ в Москве

Фото: РИА Новости/Евгений Биятов

Одна из наиболее популярных олимпиад первого уровня проводится в МИФИ. Зарегистрироваться и принять в ней участие можно по адресу: https://org.mephi.ru. Взлом этого сайта, по сведениям источника «Известий» из хакерских кругов, занял всего одну секунду. В коде нужно было поменять лишь три символа.

Согласно данным источника, на сайте были обнаружены SQL-инъекции и XSS-уязвимости (о сути терминов ниже), благодаря которым можно воздействовать на результаты конкурса. В результате, по словам хакера, легко возможно: 1) заранее узнать задачи и изменять данные ответов во время олимпиады; 2) видеть сессии и данные других пользователей и 3) массово выгрузить информацию пользователей, включая персональные (сведения из паспорта, прописку, телефон, е-мейл).

Также в редакцию «Известий» был отправлен подробный план действий, которые нужны для обеспечения доступа такого уровня. Специалисты по кибербезопасности подтвердили изданию, что цепочка похожа на рабочую, правда, отказались ее тестировать, так как это и означает взлом сайта. Позже в ответе на запрос «Известий» в МИФИ признали наличие проблемы.

Инъекции в образование

Независимый исследователь даркнета Олег Бахтадзе-Карнаухов отметил, что описанная источником цепочка очень похожа на рабочую, так как хакер использует известные уязвимости, которые часто встречаются на не до конца протестированных сайтах.

— SQL-инъекция — один из самых простых способов взлома сайта. Чтобы его осуществить, есть даже автоматические способы поиска таких ошибок в коде. Действительно, за очень короткий промежуток времени и благодаря замене нескольких символов злоумышленник может получить доступ ко всем персональным данным олимпиады, а также выгрузить задания, — считает эксперт.

По словам исследователя, скорее всего, при программировании данного сайта не было выделено достаточно времени на обнаружение таких ошибок, хотя его требуется немного на их поиск и устранение.

Впрочем, эксперт считает, что риска массового использования этих уязвимостей все же нет. Скорее МИФИ понесет имиджевые потери.

В МИФИ на запрос «Известий» сначала ответили, что не находят описанных уязвимостей. Но, когда вуз получил подробное описание цепочки, наличие ошибок было признано.

— Информируем вас об оперативной реакции профильных служб университета на вышеуказанный сигнал редакции о том, что «сайт подвержен SQL-инъекциям и XSS-уязвимостям», и о незамедлительной работе по выявлению потенциальных уязвимостей на портале НИЯУ МИФИ, — написано в ответе на запрос.

С момента поступления запроса от «Известий» до сегодняшнего дня сайт с вышеописанной олимпиадой не работает. На нем размещено следующее объявление: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».

Источник: https://iz.ru/1112473/anna-urmantceva