Z Uniwersytetu Warszawskiego wyciekły dane studentów i pracowników. "Wynik ludzkiego błędu"

Do incydentu doszło w portalu www.mimuw.edu.pl.

"W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła" - informuje dziekan Wydziału MIM UW prof. Paweł Strzelecki.

Podkreśla też, że incydent został zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury oraz zapewnia, że podjęte zostały zdecydowane działania naprawcze.

Zdaniem dziekana, do naruszenia doszło w wyniku ludzkiego błędu. "Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - zaznacza Strzelecki.

5 listopada 2020 r. CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zawiadomił Uniwersytet Warszawski o krytycznych błędach w serwisie www.mimuw.edu.pl. Ustalono, że od dnia 12 czerwca 2017 roku w serwisie wydziału dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery PESEL, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego. "Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl" - napisano na stronie wydziału.

Wyjaśniono, że repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. "Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona" - czytamy na stronie MIM UW.

Administrator dokonał analizy ryzyka incydentu i oszacował wartość ryzyka jako wysoką. Jak podała uczelnia, nieznany sprawca mógł mieć dostęp do danych, takich jak: imię i nazwisko, informacja o zmianie nazwiska, nazwisko panieńskie, płeć, zdjęcie, PESEL, data urodzenia, obywatelstwo, numer indeksu, numery telefonów (prywatne/służbowe), adres e-mail (prywatny, służbowy, studencki), adresy korespondencyjne, stopień naukowy, status osoby: student/pracownik, program studiów, a także funkcje pełnione na uczelni.

MIM UW informuje, że osoby, których zdarzenie dotyczy - zostały zawiadomione indywidualnie.

Wydział podsumowuje, że dane, do których mogły mieć dostęp osoby niepowołane, mogą pozwolić na: uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych; podrobienie dokumentu tożsamości; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej oraz do jej danych o stanie zdrowia; korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego); wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu; zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych; zawarcia umów cywilno-prawnych; założenie konta internetowego; podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej); otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych.

Do podobnych incydentów z naruszeniem ochrony danych osobowych doszło w ciągu ostatniego roku także w dwóch innych dużych uczelniach: Szkole Głównej Gospodarstwa Wiejskiego i Politechnice Warszawskiej.

W listopadzie ubiegłego roku rozpoczęła się kontrola w SGGW, gdzie doszło do kradzieży laptopa jednego z pracowników. Na jego dysku przechowywane były dane osób, które aplikowały na tę uczelnię w ostatnich pięciu latach. Komputer był sprzętem prywatnym, który pracownik wykorzystywał także w celach służbowych. Szkoła otrzymała karę za naruszenie zasad ochrony danych osobowych. Zdaniem Urzędu Ochrony Danych Osobowych w wyniku kradzieży laptopa z uczelni mogły wyciec informacje na temat nawet 100 tysięcy osób. Na podstawie zebranych dowodów urząd nałożył na uczelnię karę pieniężną w wysokości 50 tysięcy złotych.

W maju z kolei doszło do wycieku danych osobowych ponad pięciu tysięcy osób z Politechniki Warszawskiej - studentów oraz pracowników uczelni. Chodziło o wrażliwe informacje, między innymi nazwiska, serie i numery dowodów osobistych, numery PESEL, adresy czy imiona rodziców. O kolejnym wycieku danych z PW informował na początku lipca niebiezpiecznik.pl. Według tego portalu, tym razem ujawnione zostały dane z Wydziału Architektury dotyczące systemu Rekrutacja. Ujawnione miały zostać identyfikatory, czyli PESEL oraz imię i nazwisko.

We wrześniu rzecznik UODO Adam Sanocki potwierdził tvnwarszawa.pl, że prezes UODO prowadzi dwie sprawy dotyczące incydentów na Politechnice Warszawskiej - jednej związanej z naruszeniem ochrony danych osobowych zgłoszonym przez uczelnię w maju, a drugiej dotyczącej zgłoszenia z czerwca.