Wyciekły m.in. imiona, nazwiska i numery PESEL części studentów, absolwentów i pracowników Uniwersytetu Warszawskiego. Co bardziej szokujące, plik z danymi był dostępny na uczelnianym serwisie od 2017 roku. Wczoraj w oficjalnym komunikacie władze uczelni poinformowały, że sytuacja jest spowodowana "krytycznym błędem ludzkim". "Wszystkich państwa przepraszam. Przykro mi, że doszło do tego akurat na Wydziale MIM" - zaznacza Paweł Strzelecki dziekan Wydziału Matematyki Informatyki i Mechaniki UW zastrzegając jednocześnie, że nie doszło do wycieku haseł.

REKLAMA

Uniwersytet Warszawski wczoraj na swojej stronie internetowej poinformował o bardzo dużym wycieku danych studentów, pracowników, absolwentów i współpracowników. Incydent, jak przekazał Paweł Strzelecki, dziekan Wydziału Matematyki Informatyki i Mechaniki UW, miał miejsce na portalu www.mimuw.edu.pl

W ukrytym katalogu na portalu dostępne było tzw. repozytorium kodu źródłowego, w którym znalazł się także plik zawierający ogromną ilość informacji o osobach związanych z Wydziałem Matematyki Mechaniki i Informatyki oraz o części studentów Wydziału Prawa i Administracji. Były to np.:

  • imiona i nazwisko,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • nr indeksu,
  • numery telefonów (prywatne/służbowe),
  • adres e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • funkcje pełnione na uczelni.

Dziekan wydziału zaznaczył jednocześnie, że "na żadnym etapie nie wyciekły hasła studentów i pracowników UW". "Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze" - poinformował Strzelecki, dodając, że uczelnia podjęła kroki, dzięki którym usunięta zostanie możliwość nieuprawnionego dostępu do danych.

Uniwersytet Warszawski zapowiada także, iż przeprowadzi wszechstronną analizę systemów informatycznych Wydziału Matematyki Informatyki i Mechaniki. "Tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - czytamy w komunikacie.

Dane były dostępne od 2017 roku

Jak twierdzi UW, o "krytycznych błędach" w serwisie www.mimuw.edu.pl dowiedziano się 5 listopada 2020. Katalog z danymi studentów, absolwentów i pracowników był na portalu dostępny od 12 czerwca 2017 roku. Uczelnia dodaje jednak, że dane osobowe nie były "odsłonięte" i w łatwy sposób dostępne publicznie.

Po dokonaniu pogłębionej analizy zdarzenia administrator danych osobowych ustalił, że korzystać z katalogu mogła osoba nieuprawniona.

"Repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu" - argumentują władze UW, pisząc w komunikacie jednocześnie, że w repozytorium dostępnym na stronie wydziału znajdował się klucz dostępu, który "umożliwiał wysyłanie indywidualnego zapytania API, dotyczącego konkretnej osoby, do bazy uczelnianej, udostępniającej poszerzony zakres danych".

Uczelnia przeanalizowała incydent zgodnie z wytycznymi Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji. Wartość ryzyka wycieku oszacowano na wysoką.

Kto stoi za wyciekiem?

Według władz uczelni wyciek danych był spowodowany błędem ludzkim. Jak twierdzi Paweł Strzelecki, to następstwo niewłaściwych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu wydziału.

Dane, jakie wyciekły, mogą posłużyć do podrabiania dokumentów tożsamości, brania kredytów, zakładania kont internetowych, a nawet zawierania umów cywilno-prawnych.

Uniwersytet Warszawski przekazał, że skontaktował się indywidualnie ze wszystkimi osobami, których dane wyciekły.

"W przypadku jakichkolwiek obaw lub wątpliwości, prosimy o niezwłoczny kontakt na adres . Postaramy się odpowiedzieć na wszelkie pytania i zapewnić niezbędne wsparcie" - zapewnia uczelnia.