28.11.2020
PL EN
20.11.2020 aktualizacja 20.11.2020

Doszło do naruszenia ochrony danych osobowych na UW

Fot. Fotolia Fot. Fotolia

Doszło do naruszenia ochrony danych osobowych w portalu Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego - poinformował dziekan wydziału prof. Paweł Strzelecki. Do pliku zawierającego dane konkretnych studentów, absolwentów, pracowników i współpracowników UW mogły mieć dostęp osoby nieuprawnione.

Dziekan Wydziału MIM UW prof. Paweł Strzelecki poinformował na stronie wydziału o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl.

"W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła. Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze" - informuje dziekan.

Opisuje, że incydent naruszenia jest wynikiem ludzkiego błędu. "Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - pisze.

5 listopada 2020 r. CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zawiadomił Uniwersytet Warszawski o krytycznych błędach w serwisie www.mimuw.edu.pl. Ustalono, że od dnia 12 czerwca 2017 roku w serwisie wydziału dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery pesel, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego. "Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl" - napisano na stronie wydziału.

Wyjaśniono, że repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. "Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona" - czytamy na portalu MIM UW.

Administrator dokonał analizy ryzyka incydentu i oszacował wartość ryzyka jako wysoką. Nieznany sprawca mógł mieć nieuprawniony dostęp do danych społeczności akademickiej takich jak: imiona i nazwisko, informacja o zmianie nazwiska, nazwisko panieńskie, płeć, zdjęcie, PESEL, data urodzenia, obywatelstwo, nr indeksu, numery telefonów (prywatne/służbowe), adres e-mail (prywatny, służbowy, studencki), adresy korespondencyjne, stopień naukowy, status osoby: student/pracownik, program studiów, a także funkcje pełnione na uczelni.

MIM UW informuje, że osoby, których zdarzenie dotyczy - zostały zawiadomione indywidualnie.

Wydział podsumowuje, że dane, do których mogły mieć dostęp osoby niepowołane, mogą pozwolić na: uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych, ; podrobienie dokumentu tożsamości; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej oraz do jej danych o stanie zdrowia; korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego); wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu; zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych; zawarcia umów cywilno-prawnych; założenie konta internetowego; podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej); otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych.

Wskazane repozytorium kodu źródłowego zostało niezwłocznie usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w Internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie. (PAP)

lt/ agt/

Copyright © Fundacja PAP 2020