Wyciekły m.in. imiona, nazwiska i numery PESEL części studentów, absolwentów i pracowników Uniwersytetu Warszawskiego. Co bardziej szokujące, plik z danymi był dostępny na uczelnianym serwisie od 2017 roku. Wczoraj w oficjalnym komunikacie władze uczelni poinformowały, że sytuacja jest spowodowana "krytycznym błędem ludzkim". "Wszystkich państwa przepraszam. Przykro mi, że doszło do tego akurat na Wydziale MIM" - zaznacza Paweł Strzelecki dziekan Wydziału Matematyki Informatyki i Mechaniki UW zastrzegając jednocześnie, że nie doszło do wycieku haseł.
Uniwersytet Warszawski wczoraj na swojej stronie internetowej poinformował o bardzo dużym wycieku danych studentów, pracowników, absolwentów i współpracowników. Incydent, jak przekazał Paweł Strzelecki, dziekan Wydziału Matematyki Informatyki i Mechaniki UW, miał miejsce na portalu www.mimuw.edu.pl
W ukrytym katalogu na portalu dostępne było tzw. repozytorium kodu źródłowego, w którym znalazł się także plik zawierający ogromną ilość informacji o osobach związanych z Wydziałem Matematyki Mechaniki i Informatyki oraz o części studentów Wydziału Prawa i Administracji. Były to np.:
- imiona i nazwisko,
- płeć,
- zdjęcie,
- PESEL,
- data urodzenia,
- obywatelstwo,
- nr indeksu,
- numery telefonów (prywatne/służbowe),
- adres e-mail (prywatny, służbowy, studencki),
- adresy korespondencyjne,
- funkcje pełnione na uczelni.
Dziekan wydziału zaznaczył jednocześnie, że "na żadnym etapie nie wyciekły hasła studentów i pracowników UW". "Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze" - poinformował Strzelecki, dodając, że uczelnia podjęła kroki, dzięki którym usunięta zostanie możliwość nieuprawnionego dostępu do danych.
Uniwersytet Warszawski zapowiada także, iż przeprowadzi wszechstronną analizę systemów informatycznych Wydziału Matematyki Informatyki i Mechaniki. "Tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - czytamy w komunikacie.
Jak twierdzi UW, o "krytycznych błędach" w serwisie www.mimuw.edu.pl dowiedziano się 5 listopada 2020. Katalog z danymi studentów, absolwentów i pracowników był na portalu dostępny od 12 czerwca 2017 roku. Uczelnia dodaje jednak, że dane osobowe nie były "odsłonięte" i w łatwy sposób dostępne publicznie.
Po dokonaniu pogłębionej analizy zdarzenia administrator danych osobowych ustalił, że korzystać z katalogu mogła osoba nieuprawniona.
"Repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu" - argumentują władze UW, pisząc w komunikacie jednocześnie, że w repozytorium dostępnym na stronie wydziału znajdował się klucz dostępu, który "umożliwiał wysyłanie indywidualnego zapytania API, dotyczącego konkretnej osoby, do bazy uczelnianej, udostępniającej poszerzony zakres danych".
Uczelnia przeanalizowała incydent zgodnie z wytycznymi Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji. Wartość ryzyka wycieku oszacowano na wysoką.
Według władz uczelni wyciek danych był spowodowany błędem ludzkim. Jak twierdzi Paweł Strzelecki, to następstwo niewłaściwych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu wydziału.
Dane, jakie wyciekły, mogą posłużyć do podrabiania dokumentów tożsamości, brania kredytów, zakładania kont internetowych, a nawet zawierania umów cywilno-prawnych.
Uniwersytet Warszawski przekazał, że skontaktował się indywidualnie ze wszystkimi osobami, których dane wyciekły.
"W przypadku jakichkolwiek obaw lub wątpliwości, prosimy o niezwłoczny kontakt na adres mailto:iod@adm.uw.edu.pl. Postaramy się odpowiedzieć na wszelkie pytania i zapewnić niezbędne wsparcie" - zapewnia uczelnia.