Wyciek danych na Politechnice Warszawskiej. Uczelnia przeprasza i zapowiada pokrycie kosztów

Informację o "incydencie", który mógł doprowadzić do naruszenia ochrony danych osobowych wielu osób studiujących za pośrednictwem platformy OKNO, Politechnika Warszawska potwierdziła we wtorek. Chodzi o należące do około 5300 studentów i pracowników wrażliwe dane osobowe, między innymi nazwiska, serie i numery dowodów osobistych, numery PESEL, adresy czy imiona rodziców.

Do redakcji Kontaktu 24 zgłosiło się kilku studentów, których dane zostały wykradzione (chcą pozostać anonimowi, więc zmieniliśmy ich imiona). - Jedyne co otrzymałem od Politechniki, to wiadomość mailowa o tym, że moje dane mogły wyciec oraz zalecenia dotyczące wymiany dokumentów, oraz zastrzeżenia kredytowego w BIK-u. Nic poza tym. Po środowym spotkaniu online studentów z władzami uczelni oraz prawnikiem mam wrażenie, że uczelnia w ogóle nie poczuwa się do odpowiedzialności za całą sytuację – powiedział nam Adrian, student Politechniki Warszawskiej.

Zorganizowane w środę spotkanie, to cykliczny czat poświęcony sytuacji związanej z epidemią COVID-19. Tym razem jednak można było zadawać także pytania związane z wyciekiem danych. Wielu studentów pytało, czy uczelnia poniesie koszty wymiany dokumentów oraz usługi alertów BIK (abonament na 12 miesięcy kosztuje 99 złotych). W odpowiedzi usłyszeli, że "politechnika nie jest zobowiązana do tego, aby takie koszty pokrywać". - Tu już nie chodzi tylko o koszty tego abonamentu. Najbardziej kuriozalne jest to, że o wycieku moich danych dowiaduję się z portali internetowych i mediów, a potem dopiero reaguje uczelnia – denerwuje się Mateusz, nasz kolejny rozmówca z Politechniki Warszawskiej.

- A co, jeśli o tym, że ktoś wziął na moje nazwisko pożyczkę, dowiem się od komornika? Przecież przy niektórych chwilówkach wcale nie jest potrzebna weryfikacja w BIK-u - dodaje.

Uczelnia poinformowała, że wyciek danych został zarejestrowany 3 maja o godzinie 17.30. "Do nas informacja dotarła w poniedziałek i od razu rozpoczęliśmy działania w zakresie zabezpieczania – serwery zostały wyłączone, hasła zresetowane, uruchomiono prace nad sporządzeniem listy osób potencjalnie pokrzywdzonych (około 5300 osób, niektóre z nich miały jednak podanych kilka maili, stąd pojawiła się nieprawdziwa informacja o 10000 przypadków). Podejmowaliśmy działania bez zbędnej zwłoki" - przekazali na stronie internetowej przedstawiciele PW. Dlaczego czekali ponad 48 godzin z przekazaniem informacji osobom pokrzywdzonym? Jak tłumaczą, po to, aby ustalić zakres wycieku i informować osoby, których dane rzeczywiście były jego przedmiotem. "Nie chcieliśmy rozprzestrzeniać informacji niezweryfikowanej" - podkreślają.

Na stronie uczelni jest formularz umożliwiający potencjalnym poszkodowanym sprawdzenie, czy wyciekł numer ich dowodu osobistego.

W czwartek stanowisko uczelni uległo zmianie. Podczas kolejnego spotkania on-line profesor Stanisław Wincenciak, prorektor do spraw rozwoju, poinformował o tym, że osoby, które poniosą koszty zabezpieczenia swoich danych, mogą się ubiegać o ich zwrot. - Refundacja obejmować będzie koszt jednorazowej usługi zabezpieczającej w standardowym zakresie na okres jednego roku. Na chwilę obecną zgodnie z informacją podaną przez BIK, przez okres pierwszych trzech miesięcy taka usługa, realizowana przez Biuro Informacji Kredytowej, jest bezpłatna. Podstawą zwrotu będzie potwierdzenie statusu osoby, której dane osobowe zostały ujawnione, wniosek oraz załączona do wniosku faktura – poinformował profesor Wincenciak. Jak podkreślił, szczegółowe informacje na temat tego rozwiązania pojawią się na stronie uczelni.

- Jestem pozytywnie zaskoczony reakcją uczelni. Nie dość, że pojawiły się przeprosiny, to zostało wyjaśnione, że serwer z którego skopiowano dane, został zaatakowany przez hakera – powiedział nam po czwartkowym spotkaniu Adrian. Jego zdaniem, bardzo prawdopodobna jest krążąca w sieci hipoteza, że ataku mógł dokonać były student uczelni, aby ostrzec o brakach w zabezpieczeniach serwerów.

Jak przekazała Izabela Koptoń-Ryniec, rzeczniczka Politechniki Warszawskiej, formalne zawiadomienie o podejrzeniu popełnienia przestępstwa zostanie złożone na policję oraz do prokuratury w czwartek. Dzień wcześniej o naruszeniu danych poinformowano Prezesa Urzędu Ochrony Danych Osobowych.

Politechnika na swojej stronie internetowej zaapelowała, aby ci, których dane zostałyby wykorzystane, na przykład przy próbie wyłudzenia, zgłaszali ten fakt na policję. Wówczas sprawie tej zostanie nadana osobna sygnatura, bo - jak wyjaśniła uczelnia – to student lub pracownik będzie pokrzywdzony.