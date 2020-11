"W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła" - informuje dziekan Wydziału MIM UW prof. Paweł Strzelecki.

Zdaniem dziekana, do naruszenia doszło w wyniku ludzkiego błędu. "Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - zaznacza Strzelecki.

"Następstwo błędnych działań osób odpowiedzialnych za przygotowanie serwisu"

Wyjaśniono, że repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. "Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona" - czytamy na stronie MIM UW.

Imię i nazwisko, zdjęcie, PESEL, data urodzenia...

Wydział podsumowuje, że dane, do których mogły mieć dostęp osoby niepowołane, mogą pozwolić na: uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych; podrobienie dokumentu tożsamości; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej oraz do jej danych o stanie zdrowia; korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego); wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu; zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych; zawarcia umów cywilno-prawnych; założenie konta internetowego; podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej); otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych.