Na internetowym portalu Wydziału Matematyki, Informatyki i Mechaniki www.mimuw.edu.pl pojawił się ukryty katalog, a w nim dane personalne absolwentów, studentów i pracowników UW. Dostęp do pliku umożliwiał dostęp do bazy danych. Jak podkreśla dziekan wydziału odpowiedzialnego za wyciek, prof. Paweł Strzelecki, nie doszło do wycieku haseł.

Źródło: screen Youtube Paweł Strzelecki
Dziekan Wydziału MIM UW prof. Paweł Strzelecki; Źródło: screen Youtube Paweł Strzelecki

Doszło jednak do udostępnienia innych, bardzo istotnych danych: imion, nazwisk oraz nazwisk panieńskich, nr PESEL, dat urodzeń, obywatelstwa, numeru indeksu, numerów telefonów (prywatnych/służbowych), adresów e-mail (prywatnych, służbowych, studenckich), adresów korespondencyjnych, stopni naukowych, statusy osoby: student/pracownik, program studiów, a także funkcje pełnione na uczelni.

O nieprawidłowościach UW został powiadomiony przez specjalny zespół do reagowania na zdarzenia naruszające bezpieczeństwo w Internecie- CERT w dniu 5. listopada 2020. Okazało się, że dostęp do danych wrażliwych byl możliwy od 12 czerwca 2017r. Wyciek danych nastąpił na skutek błędów popełnionych za osoby odpowiedzialne za przygotowanie i konfigurację portalu internetowego Wydziału Matematyki, Informatyki i Mechaniki.

Źródło: screen Youtube Uniwersytet Warszawski
Źródło: screen Youtube Uniwersytet Warszawski

Na szczęście dostęp do danych nie był łatwy. Aby go uzyskać, konieczna była wiedza z zakresu hostingu aplikacji WWW i używania repozytoriów kodu. Wyciek nie był widoczny dla przypadkowych osób- dostęp do danych można bylo uzyskać wykonując ściśle określone, inwazyjne działania. Mimo to, na podstawie logów w systemie oraz dogłębnej analizy administrator stwierdził, że do danych mógł dotrzeć ktoś do tego nieuprawniony. Ryzyko, że nieznany sprawca dotarł do tych danych określono jako wysokie.

Osoby poszkodowane zostały indywidualnie poinformowane o sprawie przez UW. Uczelnia zgłosiła sprawę do prokuratury oraz Urzędu Ochrony Danych Osobowych, a także podjęła kroki w celu usunięcia problemu, a także wdrożenia nowego, bezpiecznego rozwiązania.

Zakres danych, jakie mogły wyciec, pozwalają na szereg nielegalnych działań, w tym podrobienie dokumentu tożsamości, uzyskanie przez osoby trzecie pożyczki w instytucjach pozabankowych lub dostępu do świadczeń opieki zdrowotnej.

Możliwe jest także wyłudzenie ubezpieczenia czy zarejestrowanie telefonicznej karty przedpłaconej, która później może służyć do nielegalnych celów. Dane pozyskane z systemu są wystarczające do zawierania umów cywilno-prawnych, zakładania internetowych kont bankowych czy na przykład podszycie się pod instytucję lub osobę, by następnie wyłudzić informacje na przykład o szczegółach karty płatniczej.

To nie pierwszy tego typu incydent na warszawskich uczelniach. Przed rokiem skradziono prywatny laptop, którego jeden z pracowników SGGW używał do celów służbowych i na którym przechowywał dane tysięcy osób aplikujących na uczelnię w ciągu ostatnich pięciu lat. Uzelnia dostała od Urzędu Ochrony Danych Osobowych 50 tys. złotych kary. Rzecznik UODO potwierdza, że prowadzone są dwa postępowania związane z wyciekami danych na Politechnice Warszawskiej, do których doszło w maju oraz lipcu- informuje portal TVN24.

O tym pisaliśmy ostatnio: Płaca minimalna w 2021r. Czy spełni się obietnica Jarosława Kaczyńskiego o 3000zł najniższej krajowej

To może Cię zainteresować: Premier nie wyklucza wprowadzenia kontrowersyjnego obostrzenia w Święta. Czy rząd zamknie nas w domach na Boże Narodzenie

Warto wiedzieć: Premier Morawiecki podał decyzję o otwarciu biznesów. Nowe obostrzenia