Zamknij

Wyciek danych z UW. Wśród nich PESEL-e i adresy studentów

20.11.2020 15:18
Wyciek danych z UW. Wśród nich PESEL-e i adresy studentów
fot. one photo/Shutterstock (ilustracyjne)

Wyciek danych studentów, absolwentów i pracowników Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego. Uczelnia potwierdziła, że wrażliwe informacje mogły trafić w niepowołane ręce.

Uniwersytet Warszawski mógł paść ofiarą cyberprzestępców, którzy uzyskali dostęp do informacji na temat studentów czy pracowników uczelni. Dziekan Wydziału MIM UW prof. Paweł Strzelecki poinformował na stronie wydziału o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu mimuw.edu.pl.

- W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych - podał dziekan.

Wyciek danych z UW

Dodał, że na żadnym etapie nie wyciekły hasła. Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze" - informuje dziekan.

Zobacz także

Opisuje, że incydent naruszenia jest wynikiem ludzkiego błędu. - Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych - przekazał prof. Strzelecki.

Możliwy wyciek danych pierwszy zauważył CERT Polska - publiczny zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci. Zawiadomiono Uniwersytet Warszawski o krytycznych błędach w serwisie mimuw.edu.pl. Ustalono, że od dnia 12 czerwca 2017 roku w serwisie wydziału dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery pesel, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego.

Zobacz także

Wyjaśniono, że repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. "Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona" - czytamy na portalu MIM UW.

Jak podała uczelnia, nieznany sprawca mógł mieć nieuprawniony dostęp do danych społeczności akademickiej takich jak: imiona i nazwisko, informacja o zmianie nazwiska, nazwisko panieńskie, płeć, zdjęcie, PESEL, data urodzenia, obywatelstwo, nr indeksu, numery telefonów (prywatne/służbowe), adres e-mail (prywatny, służbowy, studencki), adresy korespondencyjne, stopień naukowy, status osoby: student/pracownik, program studiów, a także funkcje pełnione na uczelni.

Zobacz także

MIM UW informuje, że osoby, których zdarzenie dotyczy - zostały zawiadomione indywidualnie. Co cyberprzestępcy mogą zrobić z danymi studentów, absolwentów i pracowników uczelni? Na przykład wziąć na ich dane kredyt, otrzymać dostęp do ich informacji medycznych, zawierać umowy cywilnoprawne czy otrzymywać o nich informacje z innych źródeł.

Wskazane repozytorium kodu źródłowego zostało niezwłocznie usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w Internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie. 

RadioZET.pl/PAP