Wrażliwe dane 1500 studentów były dostępne przez lukę w systemie

O sprawie wycieku danych z systemów informatycznych Szkoły Głównej Handlowej poinformował w piątek branżowy portal niebezpiecznik.pl, poświęcony bezpieczeństwu w internecie. Na portalu opublikowano fragment listu władz uczelni do studentów, w którym poinformowano, że na skutek błędu programistycznego w systemie rekrutacji na wyjazdy międzynarodowe, ich "dane osobowe potencjalnie, w dniach 13-15 września br., mogły być przetwarzane przez grupę pięciu studentów SGH".

Jak napisano w liście zakres dostępnych danych obejmował m.in.: imię i nazwisko, numer PESEL, imiona rodziców, panieńskie nazwisko matki, adres email, numer telefonu, seria i numer dokumentu tożsamości, a nawet numer konta. "Wszystkie pięć osób pisemnie potwierdziło trwałe usunięcie pobranych danych lub wykasowanie pamięci podręcznej (cache) przeglądarki w przypadku tylko ich przeglądania".

Uczelnia poinformowała również, że wystąpienie błędu "spowodowało również zaindeksowanie stron zawierających dane przez wyszukiwarkę internetową Bing". "W wynikach wyszukiwania można było wyświetlić tylko numer albumu studenta, imię i nazwisko. Na wniosek Uczelni dane zostały usunięte z wyszukiwarki" - czytamy w opublikowanym liście.

Mariusz Sielski, rzecznik prasowy SGH, przekonuje, że "nie doszło do wycieku danych" - Grupa pięciu studentów odkryła lukę w naszym systemie informatycznym, która taki wyciek umożliwiała. Studenci zgłosili ten fakt samorządowi. Uczelnia zadziałała natychmiast. Już 15 minut po zgłoszeniu system został odizolowany od publicznej sieci - mówi w rozmowie z tvnwarszawa.pl Sielski. - Błąd w kodzie pojawił się w okolicach 20 sierpnia, a wykryty został 15 września. Został już usunięty - dodaje.

Podkreśla, że w 2021 roku rektor SGH podpisał rozporządzenie, które określa, jak należy postępować w przypadku zagrożenia dla danych wrażliwych. Na podstawie tego dokumentu studenci zostali niezwłocznie poinformowani o zagrożeniu. Sprawa może dotyczyć nawet półtora tysiąca osób.

- Aktualnie intensywnie sprawdzamy aktywność wobec danych, które były widoczne. Póki co, nie odkryliśmy żadnych, poza pięcioma wejściami studentów, którzy lukę wykryli. Czekamy również na instrukcje ze strony Urzędu Ochrony Danych Osobowych, gdzie sprawa została zgłoszona. Oczywiście jesteśmy zmartwieni, że taka luka w systemie powstała. Zaproponowaliśmy studentom abonamenty w alertach BIK - wyjaśnia Sielski.

- Regularnie dokonujemy przeglądu naszej struktury IT. Ale ta sytuacja skłania nas do jeszcze bardziej wzmożonego działania w tym zakresie - dodaje rzecznik SGH.

Ponad dwa lata temu do podobnej sytuacji doszło na Politechnice Warszawskiej. Uczelnia sama poinformowała o "incydencie", który mógł doprowadzić do naruszenia ochrony danych osobowych wielu osób studiujących za pośrednictwem platformy OKNO. Chodziło o należące do około 5300 studentów i pracowników wrażliwe dane osobowe, między innymi nazwiska, serie i numery dowodów osobistych, numery PESEL, adresy czy imiona rodziców.

W związku z ujawnieniem wrażliwych danych UODO nałożył na uczelnię karę w wysokości 45 tysięcy złotych.

Z kolei w 2019 roku informowaliśmy o kradzieży danych, do której doszło w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie: