Сегодня речь пойдет об уникальном случае, когда ужасно глупая ошибка породила выгодный бизнес и осчастливила сотни школьников в Москве.

О чем речь?

Для начала, проясню что такое МЭШ и почему мы вообще о нем говорим. МЭШ - Московская Электронная Школа. Электронный журнал для всех учеников г. Москвы.

Он очень удобный и приятный в использовании, особенно по сравнению с его собратом из области (в "Школьном портале" М.О. требуется заплатить денег за возможность просматривать домашнее задание и оценки в мобильном приложении).

ЦДЗ ????

Одной из главных фишек МЭШ можно назвать ЦДЗ(Цифровое Домашнее Задание). Это как привычная всем домашка, только в формате тестов на сайте или в приложении. Сами ученики раньше очень любили этот вид работы, так как он был максимально легким.
ЦДЗ решалось буквально за секунды.

Многие знали о существовании ботов X и Y в Telegram, и активно ими пользовались. Суть была проста, заходишь в бота, кидаешь ссылку на свое ЦДЗ, profit. Бот присылал ответы на все задания кроме тех, что учителя проверяли вручную, но таких было крайне мало, ведь учителя брали задания из готовых банков, а на них были ответы.

А как? ????

Интересно, как же так получилось, что эти боты брали ответы из, казалось бы, защищённой системы МЭШа? Неужели все было в открытом доступе?

Я решил разобраться в том, как же работали эти боты и сколько они зарабатывали.

Ужасно глупая ошибка ????‍♂️

Немного погуглив, я нашел GitHub бота Y и тут же бросился его изучать.

Среди кучи кода самого ТГ бота я нашел ту самую библиотеку, делающую всю грязную работу.

Меня привлек странный метод auth

Метод авторизации
Метод авторизации

login = "" и password_hash2 = ""

Как так?! Пустой логин и пароль?

Неужели прям так ужасно?!

Оказалось, что разработчики оставили тестового юзера с целью правильного отображения frontend части сайта, однако зачем-то дали ему права на backend части.

Получается костыль.

Его и нашли школьники и быстро собрали на его основе систему, позволяющую им вытаскивать ответы с серверов.

Способ получения ответов через testplayer
Способ получения ответов через testplayer

Получается следующая схема.
1) Получаем доступ к тестовому юзеру
2) С его токеном выясняем какой тип и вариант у данного нам задания
3) Обращаемся на сервер за ответами
4) Из-за кривых настроек сервер отдаёт нам ответы
5) Отдаём их довольным школьникам

Полная функция получения ответов
Полная функция получения ответов

Как вы видите, все довольно просто. И данная уязвимость не требует почти никакого умения для эксплуатации.

Бизнес ????

Вернёмся к нашим ботам. Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам. А вот с ботом X все сложнее.

Эти ребята решили сделать Premium Pro Plus Extra Deluxe подписку. Символическая цена за возможность быстрее решать задания и убрать лимит на кол-во заданий в день. Прекрасная сделка!

Дети собирали деньги всем классом, покупали подписку на бота и жили без забот о домашке.

Бот X
Бот X

Фикс ????

На данный момент этот метод не работает.

Тест юзера убрали, endpointы поменяли, дыру залатали.

Но бот X до сих пор работает и собирает деньги. Как они это делают мне не ясно, но осмелюсь предположить, что используется все та же проблема со вседозволенностью на стороне сервера. Только в этот раз им удалось получить данные от аккаунтов одного из завучей либо учителей, ведь их доступ к банкам заданий никак не ограничивается.

Итоги ✅

Дырка в системе максимально глупая и странная, не ожидал такого от МЭШ. Но было интересно порыться в исходном коде этого проекта и провести свое мини расследование.

TL;DR Школьники использовали уязвимость с тестовым юзером чтобы заработать денег и не решать домашнее задание :)

Спасибо за внимание, ещё увидимся!

Комментарии (91)


  1. Breathe_the_pressure
    28.11.2022 19:57
    +9

    МЭШ ужасен, я не знаю кто его делал, но это очень странный сайт. Первый месяц он стабильно не работает. Периодически не открывается. Скачет между доменами school и dnevnik. Из-за рубежа не открывается через mos.ru, но если зайти через прямую ссылку dnevnik.mos.ru, то открывается.


    1. mishailovic
      28.11.2022 22:14
      +2

      С эжд всю жизнь был какой то головняк, у нас даже была такая шутка про то что их сервера на хомяках работают. Самые веселые дни были когда в Московских школах было дистанционное обучение и эжд задыхаясь от наплыва юзеров не мог генерировать ссылки на Microsoft teams. В один день даже сам себя на мысли поймал, что очное обучение менее геморно чем дистанционное (в таком формате)


    1. vladimirad
      29.11.2022 09:38
      +8

      Не открывается из за рубежа, потому, что московское правительство очень боится хакеров из за этих самых, как его, зарубежей.

      Вообще там все весело. Постоянная работа в ручном режиме. Постоянные "улучшения" "улучшений". Кроме этого, теперь оплату учителям подрезали, буквально в октября. Раньше за работу с МЭШ давали надбавку 10 тысяч и надбавку давала администрация. Теперь машина проверяет процент исполнения: внесение домашних заданий, учебных планов и т.д. По итогам идет выплата. В результате в октябре из из 96 человек выплату получили 14. Многие выполнили квест по заполнению учебных планов, причем неоднократно, так как заполнив планы, ты не можешь быть уверен, что, завтра после очередного улучшения журнала, они не слетят. Но! система считает что ты справился на 98 процентов и прощай выплата.


      1. w0lf
        29.11.2022 12:31

        Это не инициатива московского правительства, они только исполняет официальное требование министерства цифрового развития.


      1. sshemol
        29.11.2022 23:12

        Не открывается из за рубежа это гео IP фильтр от DDoS атак. То же с другими гос и около сайтами. Это появилось после событий.


        1. vladimirad
          30.11.2022 12:11
          +2

          Комментарий не читай! Сразу пиши. Стесняйся называть вещи своими именами, пиши обтекаемо - события. Покажи себя специалистом: гео IP фильтр...


        1. Layan
          30.11.2022 14:47

          Но как поможет такая защита от DDoS, если по прямой ссылке все открывается?


  1. Koioes
    28.11.2022 20:03
    +17

    Facepalm.jpg

    Чему тут удивляться? И от чего больше офигевать: от того, что на одном из сайтов для государственных БЕСПЛАТНЫХ школ(а деньги на содержание идут из налогов граждан), нужно платить, чтобы посмотреть дз, или что другой сайт написан... Профессионально.


    1. MaryRabinovich
      28.11.2022 23:26
      +4

      Вроде, платить надо только за мобильную версию. Что тоже странно, но не окончательно дико. Только частично дико.

      Потому что платные кружки в бесплатных школах можно объяснить повышенными человеко-часами учителей. А тут что повышенное, не понятно. Один раз мобильный лейаут добавили, и вроде всё.


      1. yaguarundi
        29.11.2022 12:13
        +2

        Есть семьи, где нет компьютера, и ДЗ вынуждены смотреть только через телефон.


        1. aPiks
          29.11.2022 13:26

          Firefox mobile -> Вид для ПК ?


          1. moscow_intelligent
            29.11.2022 13:29

            Так и делали, но это ужасно неудобно. Сайт адаптирован под ПК и на телефоне все криво, косо а иногда вообще не работает


            1. MTakeover
              30.11.2022 13:56

              это точно сверстали для ПК и забыли(забили)


        1. 6lives
          29.11.2022 13:28

          открывать через мобильный браузер? с системой не знаком, но звучит как платный доступ к мобильному приложению


  1. StjarnornasFred
    28.11.2022 20:41
    +19

    Похоже, мем "русские хакеры" слегка устарел, ему на смену пришли "московские школьники". Рад за свой город.


    1. Chillingwilli
      30.11.2022 13:56

      Город хакеров, да, но всё же минус в том, что такой популярности у этого мема пока нет.


  1. a1mir
    28.11.2022 21:08
    +2

    Помню, ещё во времена введения дневник.ру году эдак в 2009ом подобрал пароль одного из учителей и ознакамливался с интересной доступной только им статистикой :)


  1. YungFlaeva
    28.11.2022 21:14
    +2

    Вот что-что, а самом деле ожидаемо... Если так по-честному говорить, то mos.ru тоже массу проблем имеет, но там скорее про скорость работы сервисов. Сейчас в целом возросла необходимость как создавать новое ПО, так и улучшать старое. Возможно, в скором времени эти же московские школьники решат эту проблему. Только для начала в школах нужно выделить технологические классы и привлекать преподавателей по программированию вместо нынешних информатиков, которые учат открывать Word и калькулятор (опять-таки речь идёт о преподавателях в технологических классах; в общеобразовательных достаточно и примитивного умения пользования ПК). Разумеется, выделять ЗП для преподавателей-программистов будет дороже, но уверен, что всем, кто хочет перейти в условный технологический класс, будет интереснее проходить азы программирования и уже в 8-9 классах что-то знать и уметь.
    Слышал, что сейчас в московских школах открываются/открылись технологические классы и в целом развивается IT сфера среди школьников. Надеюсь, дойдёт и до других городов, и для многих интересующихся юных программистов уроки станут интереснее!


    1. moscow_intelligent
      28.11.2022 21:15
      +1

      Да, действительно открываются классы. Но они, мягко говоря, не очень. Популяризация IT среди молодежи это прекрасно! Но, опять же, это нужно делать грамотно.


    1. neboxodov
      29.11.2022 17:07

      Закончил школу в далеком 2005, и смотря сейчас на людей которые не знаю сочетание ctrl+f, и нумерацию в excel набивают через клавиатуру 1 2 3 ... n а не растягиванием, android называют броузером. Искренне недоумеваю, за чем нас на уроках информатики учили паскалю )))) А с тех пор как моя жена захотела войти в it и записалась на курс тестировщика, удивился когда не нашел нормальной книжки по основам компьютерной грамотности... А тут учителя программисты говорили они...
      А для популяризации программирования есть довольно много школ робототехники для тех кому это действительно интересно.


  1. mishailovic
    28.11.2022 22:16
    +2

    К сожалению эжд не развивается и баги не чинятся. Скорее всего он был заказан у команды разработчиков на системе госзакупок как готовый продукт. Заказ сдали вместе с багами, а вот чинить их не кому к сожалению.


  1. AntonSor
    28.11.2022 22:19
    +1

    Так держать :) Больше ИТ стартапов для школьников :) Даешь новых Илонов Масков в московских средних школах :)


    1. tupenbor
      28.11.2022 23:47
      +4

      Вы реально думаете что кто спишет ответы будут новыми Илонами Масками?


      1. tempick
        29.11.2022 01:25
        +3

        Ну как минимум, это не исключено


        1. tupenbor
          29.11.2022 01:35
          +1

          В той же степени как прилетит розовый единорог и сделает за вас уроки.


          1. Chupaka
            29.11.2022 09:24
            +4

            Т.е. 50%? Или прилетит, или не прилетит. К слову, сейчас, судя по статье, прилетает :)


      1. RuSergO
        29.11.2022 08:19
        +4

        По мне так - здесь мысль не в том, что они списали, а в том, что быстро сориентировались и использовали то, что по сути то им и оставили разрабы


  1. mordoorg
    29.11.2022 08:19
    +4

    К сожалению, работая техником-программистом и учителем информатики в школе, могу с уверенностью заявить: электронный журнал - это словно башня дженга, в которой если хоть что-то поменяется, то всё сразу упадёт. Сам по себе, эл.журнал очень удобная вещь, но очень нестабильная и неустойчивая. Иногда упадёт, иногда лагает. В час пики (часа в 2-3) так вообще пиши-пропало.

    Буквально недавно случилась ситуация: в один прекрасный день, у четверти учителей в школе перестал логиниться их аккаунт. Сразу понял в чём проблема: логиниться перестало у тех, у кого на ноутбуках установлена WinXP. Написал в поддержку, где те ответили, что "знают о данной проблеме и сроков её решения пока нет" посоветовали сменить браузер (хотя я сразу всё протестил на Yandex, Mozilla и даже на древнем IE (со сменой протоколов и настроек)), или ждать решения проблемы и пользоваться Android-приложением.

    Уже прошло 2 месяца. Проблему так и не решили. И никаких новостей по ней нет.
    Сама идея того, что кто-то пустил по одному месту работу журнала на самой распространенной системе в учебных заведениях пугает. Ладно в школе где я работаю - тут ещё всё более менее хорошо с оборудованием, и всё переводится на Win10-11, но в других школах города и тем более в сельских - там скорее всего вовсе случился коллапс.


    1. StjarnornasFred
      29.11.2022 08:30
      +2

      По моим впечатлением - так сделана вся state-driven цифровизация образования, включая даже условно-коммерческое издательство "Просвещение".


      1. borovinskiy
        29.11.2022 15:59

        Просвещение - коммерческое издательство с оборотами (на память) 15 млрд.

        Оно условно негосударственное - контрольный пакет в руках компаний, контролируемых государством.

        Государство выгодно продало его лет 20 назад за 2 млрд., а недавно выгодно купило за условные 100 млрд. "на разницу и живут" успешные покупатели за 2.


    1. IDDQDesnik
      29.11.2022 09:06
      +8

      В операционной системе поддержка которой завершена 13 лет назад что-то не работает? Да неужели. И эти люди учат детей.


      1. wellprog
        29.11.2022 09:34
        +8

        А причем тут учитель позвольте спросить? или это он занимается внедрением оборудования? что есть на том учат. Меня больше удивляет как поделки неучей внедряются в жизнь. Как рождается это недоразумение под названиями "Электронный дневник", "Олимпиады" и прочее .... Такое ощущение что берут школьников и говорят надо сделать, поставлю 5 и потом на это в принудительном порядке подсаживают школы. И тут даже не качество реализации (в очень редких местах оно достойное), а просто в логике работы (последнее где я плевался - нужно было на очередном сайте по олимпиадам подкорректировать данные своих детей. Алгоритм следующий - заходим под учеткой родителя, сбрасываем пароль ребенка на свою почту, логинемся под ребенком, меняем данные школы, дальше по циклу по количеству детей. То есть возможность редактирование школы и класса есть у ребенка, но не у родителя или классного руководителя класссссс!)


        1. flashmozzg
          30.11.2022 04:24

          Тут проблема в том, что машинам на ХР вообще вызод в интернет разрешён, и почему в этих школах до сих пор ничего новее нет (даже семёрки, которая тоже уже не поддерживается). Так то где-то наверное и 98SE можно найти. Но это не к учителям вопросы.


      1. kisskin
        29.11.2022 15:33
        +4

        Какое мудрое замечание. А под вин11 эти люди будут во сколько раз учить детей лучше?


      1. mordoorg
        30.11.2022 05:16

        Есть такая вещь, как "финансирование" и "бюджет". И у образовательных учреждений он разный. Легко сидеть и говорить о том, что где-то что-то не работает, потому что старое. Что есть на том и работают в школах. Поэтому сидеть и удивляться тому, что за 13 лет так и не заменили все 100% компьютеров в каждой школе страны - бессмысленно. Где-то вовсе пластиковых окон нету до сих пор, и туалеты не туалеты, а дырка в полу.

        Чисто физически поставить Win10 на их старенький Lenovo с i3 380M 11 года я не смогу, в итоге и остаётся только сидеть и ждать альтернатив и финансирования. И так во всех школах.


    1. sshemol
      29.11.2022 23:17
      +2

      На ХР скорее всего не работает из за просроченных сертификатов или отстуствия "современных" алгоритмов в HTTPS.


  1. vtal007
    29.11.2022 09:55
    +8

    Почему "школьники" взломали? уже поймали что ли?


    1. Vindicar
      29.11.2022 11:47
      +4

      Хороший вопрос, на самом деле. Мне что-то кажется, что не школьники, а неглупые взрослые люди, наверняка имеющие отношение к обслуживанию этой системы.


    1. moscow_intelligent
      29.11.2022 12:43
      -1

      Ошибку нашли школьники, библиотеку написали школьники, уязвимость починили разработчики МЭШ. Никто никого не ловил)


      1. vtal007
        29.11.2022 12:46
        +1

        Так откуда узнали кто нашел, кто написал библиотеку, если никого не поймали?


        1. moscow_intelligent
          29.11.2022 12:51
          -1

          Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам.

          Вот откуда :)


          1. vtal007
            29.11.2022 12:54
            +4

            А где в фразе "Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость" указание на школьников? Я вижу "разработчики бота". а кто именно "разработчики бота" не указано. Рептилойды с планеты Нибиру тоже вполне вариант

            Вы везде пишите про некоторых школьников. Но откуда Вы знаете кто все это писал (пусть и криво?) Вы папа одного из них?
            Чтобы однозначно знать, что это школьники, это надо быть либо близко знакомыми с этими взломщиками, либо присутствовать при явке с повинной (до суда наверно не дошло)


            1. moscow_intelligent
              29.11.2022 12:57
              +2

              Да не, рептилойдам такое не надо. Уязвимость нашли дети, библиотеку и бота написали они же. Я хотел взять интервью у авторов, но они отказались. Можете глянуть GitHub автора библиотеки, там указан его возраст


              1. vtal007
                29.11.2022 13:01
                +1

                Уязвимость нашли дети

                откуда инфа?

                Библиотеку и бота написали они же.

                откуда инфа? Почему не Вы?

                Где мне искать гитхаб?
                Все обвинение школьников строится на том, что Вы нашли гитхаб и там указан возраст одного (совсем одного) человека. Но при этом "школьники". А почем не школьник, тогда уж? Чтоб собственно мешает какому-нить питон-синьеру помочь своему сыну сдавать экзамены, выложив под его именем на гитхабе ?


                1. moscow_intelligent
                  29.11.2022 13:07
                  +1

                  Выше есть комментарий со ссылкой на GitHub. В этом репозитории ответы на все ваши вопросы. Чуточку OSINTа и вы все найдете. Я уверен, у вас получится :)
                  Вопрос про python seniorа не очень понял, причем тут экзамены? Речь о библиотеке на гитхабе, как она поможет с экзаменами?


                  1. vtal007
                    29.11.2022 13:11
                    +2

                    Выше есть комментарий со ссылкой на GitHub.

                    Нет такого комментария. Я даже код страницы посмотрел

                    Чуточку OSINTа и вы все найдете

                    Обязанность доказывать лежит на утверждающем. Мне то зачем искать. Это Вы пишете "школьники", а не я. Я просто спрашиваю "какие Ваши доказательства"


                    1. moscow_intelligent
                      29.11.2022 13:18
                      -1

                      Да, коммента нет, странно, удалили видимо ¯_(ツ)_/¯
                      Я писал статью не с целью что-либо доказать, а с целью рассказать про случай. Да и никто не обязывал меня ничего доказывать :) Если вам интересна дальнейшая история и весь набор инфы по этому поводу, а не только выводы, можете написать мне, я скину все ссылки на которых искал информацию. Может даже свою статью напишете, лучше моей, я буду очень рад посмотреть!
                      Опять же, 3 минуты в гугле дадут вам ответы на все ваши вопросы. Очень жаль что удалили дискуссию выше, там человек возмущался по поводу красоты кода и речь шла о том, что код явно не сеньорский.


                      1. vconst
                        01.12.2022 08:47
                        +1

                        Да и никто не обязывал меня ничего доказывать :)
                        Вообще-то вы сами обязали себя доказать это — назвав так статью и рассказывая в ней, что взлом осуществили школьники


  1. Bedal
    29.11.2022 10:53
    +7

    Когда в Шотландии вводили нечто вроде удалённого ЕГЭ, результаты были парадоксальны: диктанты мальчиков оказались грамотнее, чем девочек.

    Оказалось, мальчики чаще догадывались включать в браузере проверку орфографии.


    1. vtal007
      29.11.2022 11:19

      в хроме, например, сразу подчеркивает. "пыва" например подчеркнуло


      1. Bedal
        29.11.2022 11:32

        В хроме по умолчанию включена проверка, делов-то. Отключаемо.

        И - это не прошедшим летом было.


  1. askv
    29.11.2022 13:01
    +1

    Я ещё в докомпьютерную эпоху журнал хакнул. Можно было зайти в учительскую и поставить себе отметки о посещении практики, пока никого из учителей в комнате нет.


  1. mrkaban
    29.11.2022 13:16

    Какие-то умные школьники получаются)) или им кто-то помогал.
    Скрипт на Python написали, и не просто ведь угадали логин \ пароль, а еще и в json данные туда-сюда.


    1. moscow_intelligent
      29.11.2022 13:20
      +4

      Это не так сложно, многие школьники которым интересно программирование учатся дополнительно во всяких школах. В некоторых даже есть курс по CTF и кибербезопасности, так что ничего в этом удивительного нет. Ребята молодцы!


      1. mrkaban
        29.11.2022 13:27

        Они безусловно молодцы! И курсы такие есть, но в школах Python не дают, к сожалению. Я это говорю к тому, что такие ребята в школах встречаются редко, но бывает. Либо у одного из них есть брат\друг, который и помог написать код за процент.


        1. moscow_intelligent
          29.11.2022 13:32

          Почему, в школах есть Python. В Москве точно, ЧУДО "Школа Программистов" в партнерстве с некоторыми школами преподает ребятам в 10/11 классах Python, networking и еще кучу других важных предметов. Но это скорее исключение, чем правило. Хотелось бы видеть такие инициативы почаще.


          1. mrkaban
            29.11.2022 13:35
            +1

            Это отдельные несколько школ, то есть в среднем количество таких школ на уровне погрешности. И это конечно же плохо, но речь не про это.


            1. moscow_intelligent
              29.11.2022 13:37

              Ну не все так плохо. Да и смысла в этом не так много. Мне кажется что было бы глупо вводить Python или любой другой ЯП в школе. Этому надо учиться на доп. занятиях. А вот рекламировать эти доп. занятия и делать их максимально доступными надо бы.


              1. mrkaban
                29.11.2022 13:44
                +3

                Меня в школе учили программировать на TurboPascal и я считаю, что вместо него лучше давать Python, но опять же, это всё будет нужно и интересно только отдельным ученикам.

                Он простой, а когда у них сразу начнет получаться - они заинтересуются, поймут некую логику программирования и начнут изучать глубже его или другой язык.

                Я всё это вёл к тому, что по России таких доп курсов мало и учеников, которые знают Python в общем счете мало. По крайней мере в Красноярске.


                1. moscow_intelligent
                  29.11.2022 13:45

                  Ну мне кажется это надо давать только тем, кому интересна информатика или программирование. Если я сдаю географию на ЕГЭ и иду на геолога, мне не очень нужен Python. А вот основы компьютерной грамотности полезны любому.


                  1. mrkaban
                    29.11.2022 13:54

                    у нас Pascal давали всем и все как-то сдали. Подробности не помню, давно дело было.


                1. larasage
                  29.11.2022 14:35
                  +1

                  У меня сын сперва с питоном в кванториуме познакомился (хотя сам питон не давали, предполагалось, что дети его знают - я ему давал ссылку на онлайн-курс питона тогда), потом в школе проходили. До этого у них в школе был паскаль, сейчас плюсы. Да, маткласс лицея, но город - даже не миллионер (да и школа не первая в городе уже).


            1. dkirienko
              29.11.2022 14:26

              В целом вы ошибаетесь, в настоящий момент в Москве Python является самым распространённым языком в школах. Эпоха паскаля заканчивается.


              1. mrkaban
                30.11.2022 06:02

                Ключевое слово в Москве


                1. dkirienko
                  30.11.2022 07:00

                  На самом деле не только в Москве, а уже везде. Вот статистика по языка программирования на школьном этапе всероссийской олимпиады школьников по информатике по регионам в 2021 году:

                  Если хотите файл в формате Excel, нужно нажать на кнопку "Скачать", но и так числа видны.

                  https://u.pcloud.link/publink/show?code=XZeaGOXZ26yKjRrToi0Ydv5h1liLRHqCJQBy

                  Последним главным двигателем Python стал Яндекс-лицей.


                  1. mrkaban
                    30.11.2022 07:04

                    "всероссийской олимпиады школьников по информатике", что лишний раз подтверждает мои слова.


              1. ferini
                30.11.2022 13:57
                +1

                Слушайте, я по долгу службы постоянно отсматриваю код опен сорса и хочу сказать, что у ребят больно структурированный код, логичный и чистый. Либо они прям дарования, либо им помогали.


        1. Koioes
          30.11.2022 10:14
          +1

          Сейчас в школах и вправду активно внедряют питон, как минимум, в физмат Наверное, потому что Паскаль и его аналоги уже морально сильно устарели. Даже в учебниках был Паскаль или Питон. Действо было в Волгограде


    1. shasoftX
      29.11.2022 14:49
      +4

      Вообще из статьи непонятно откуда пришла информация что взломали школьники. Школьники пользовались ботом, но кто написал бота информации то нет.

      Если я правильно нашел репозиторий, то

      17 y.o. student, python/dart dev. founder of openSchool

      my name is Dmitriy and I'm a software developer. I'm from cold Russia, my best friends are bears, of course, i play balalaika and drink a lot of vodka :)


      1. mrkaban
        30.11.2022 08:38
        +1

        Вот вот, код явно не школьники писали, он слишком чистый и логичный для школьников. Даже с учетом наличия курсов по python у школьников, все равно слишком красивый код.


        1. morijndael
          30.11.2022 22:18
          -1

          Откуда такие выводы? В момент окончания школы магически выпадает тонна экспы в программировании? А до никак, ветка исследований закрыта?


          1. mrkaban
            01.12.2022 05:10

            Изучи внимательно репозиторий, а потом говори. И внимательно посмотри на профили и репозитории трех "школьников", которые это написали, и одного из них реально написано 17 лет, с учетом того когда это было опубликовано и PRO аккаунта другого, и третий тоже не лыком шит. Это не школьники, а студенты.


            1. moscow_intelligent
              01.12.2022 10:48

              Кейс, описанный в статье произошел достаточно давно, а люди имеют очень интересное свойство, взросление. Те, кто в 2020 были школьниками в 11 классе сейчас уже учатся в ВУЗе.


              1. mrkaban
                01.12.2022 10:52

                Так и репозиторий то когда был опубликован? 2020 год, открываем веб-архив и что видим? ту же надпись.
                Помимо этого он с 2020 участвует в "Developer Program Member" на Github и имеет 8 репозиториев. Для примера, "Virtual Bank system" на php, grabber-server на python, свои api на python.
                Ну и конечно же школьник добавил libmesh на pypi.


  1. Abysswalker94
    29.11.2022 13:48

    Пусть им на ЕГЭ по информатике 100 поставят) А так, судя по всему, разработчики тоже школьники


    1. moscow_intelligent
      29.11.2022 13:50

      Ну 100 по информатике это перебор :) Однако, 5 по информатике они заслужили.

      А вот разработчики... Очень странно что в таком, казалось бы, серьезном сервисе такая глупая ошибка. Более того, ее долгое время не замечали, может кто-то успел этим воспользоваться до того как она была опубликована.


  1. IgorDuino
    29.11.2022 14:26

    Мы тоже недавно нашли и пофиксили ошибку в лаборатории МЭШ. Там правда всё сильно менее критично. Фронт отправлял запрос на устаревший хост, а добавив 1 строчку в /etc/hosts мы стали единственными, у кого работала эта страница в дневнике


    1. moscow_intelligent
      29.11.2022 14:58

      Можно было просто модифицировать http header. /etc/hosts именно это и делает :)


      1. IgorDuino
        29.11.2022 15:02

        Во время исследования проблемы мы так и делали через Burp Proxy, но чтобы дать решение, которое смогли бы повторить все было потенциально 2 способа.

        JS расширение и /etc/hosts

        JS расширение отпало, потомучто запрос делал WASM, который мы не можем менять


      1. pravic
        30.11.2022 13:53
        +1

        /etc/hosts именно это и делает

        Пруф?


      1. isBlaze
        30.11.2022 16:58
        +1

        /etc/hosts не имеет никакого отношения к http заголовкам. он всего лишь дополняет системный резолвер. внося записи в этот файл Вы всего лишь указываете системе(и браузеру в том числе), на какой ip адрес отправлять запрос.


        1. moscow_intelligent
          30.11.2022 18:50

          Прошу прощения, ошибся. Отношения действительно никакого нет. Но по сути, проблему решает, просто другим способом. Моя вина, забыл :)


    1. borovinskiy
      29.11.2022 16:03

      Лабораторные МЭШ сделаны не безопасно, ага.

      Ну и там физиконовские на сервер Физикона обращаются типа с xAPI, но он видать не настроен.

      В общем, там Содом и Гоморра в этой МЭШ -)


  1. uis246
    29.11.2022 17:35
    +1

    Когда я был в школе, я делал своё исследование МЭШа. Если коротко: можно обычным пользователем(школьником) получить ответы.

    Не уверен, что стоит об этом писать подробности, а то ещё и это прикроют.


    1. moscow_intelligent
      29.11.2022 17:40
      +2

      Интересно, расскажете подробнее?)