Jak poinformował w komunikacie Uniwersytet Warszawski, do naruszenia doszło w wyniku nieuprawnionego dostępu do systemów informatycznych uczelni. "Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika" - wyjaśnia UW.
"Dzięki użyciu poprawnych danych logowania aktywność ta przez dłuższy czas nie wzbudzała podejrzeń. Osoby odpowiedzialne za atak działały w sposób rozproszony i trudny do wykrycia, stopniowo uzyskując dostęp do kolejnych elementów systemu" - wskazano w komunikacie.
Długa lista danych
Incydent został wykryty 9 lutego 2026 r. w ramach działań prewencyjnych prowadzonych przez zespół bezpieczeństwa, podjętych w związku z informacjami o globalnej kampanii ransomware. Po jego wykryciu uczelnia podjęła działania zabezpieczające. "Na tamten moment przeprowadzona analiza nie wykazała, że mogło dojść do wycieku danych poza infrastrukturę uczelni" - podkreślono.
Okazało się, że dane mogły zostać skopiowane w okresie od stycznia do lutego 2026 r., a ich publikacja w darknecie nastąpiła w nocy z 15 na 16 kwietnia.
"W toku analizy ustalono, że opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB). Zdecydowana większość plików z danymi osobowymi pochodzi z dwóch jednostek Uniwersytetu Warszawskiego – Wydział Neofilologii oraz Wydział Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym. Jednocześnie część zbioru (ok. 200 GB) zawierała różnego rodzaju dane, w tym dane osobowe. Spośród nich ok. 32,8 tys. plików mogło zawierać dane osobowe" - wylicza UW.
Jakie dane mogły trafić do darknetu? Lista jest długa.
- dane identyfikacyjne (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo),
- dane identyfikacyjne szczególnego rodzaju (np. numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),
- dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika),
- dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych),
- dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia),
- dane dotyczące zdrowia (np. informacje zawarte w zwolnieniach lekarskich),
- dane związane z ubezpieczeniami społecznymi,
- dane zawarte w korespondencji elektronicznej,
- wizerunek.
Środki zaradcze
Wyciek danych może dotyczyć - jak wskazuje UW - pracowników, studentów, kandydatów na studia, doktorantów, byłych pracowników i współpracowników, innych osób związanych z działalnością uczelni.
"Na obecnym etapie nie możemy jednoznacznie potwierdzić, czy i których konkretnie osób dane zostały objęte incydentem. Analiza zdarzenia nadal trwa" - podaje UW.
W ramach środków zaradczych uczelnia rekomenduje: zastrzeżenie PESEL, monitorowanie aktywności kredytowej poprzez założenie konta w systemach informacji kredytowej i gospodarczej (np. BIK, BIG, KRD, ERIF) oraz włączenie alertów o próbach wykorzystania danych, zmiany haseł m.in. do bankowości elektronicznej i poczty.
Oprócz wewnętrznych zabezpieczeń systemu uczelnia zgłosiła incydent do CERT Polska, CBZC (Centralne Biuro Zwalczania Cyberprzestępczości), Prezesa Urzędu Ochrony Danych Osobowych. "Współpracujemy z CERT Polska i CBZC w celu pełnego wyjaśnienia zdarzenia" - informuje UW.