Dziekan Wydziału MIM UW prof. Paweł Strzelecki poinformował na stronie wydziału o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl.
"W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła. Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze"
- informuje dziekan.
Ludzki błąd
Opisuje, że incydent naruszenia jest wynikiem ludzkiego błędu. "Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych" - pisze.
5 listopada 2020 r. CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zawiadomił Uniwersytet Warszawski o krytycznych błędach w serwisie www.mimuw.edu.pl. Ustalono, że od dnia 12 czerwca 2017 roku w serwisie wydziału dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery pesel, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego.
"Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl"
- napisano na stronie wydziału.
Wyjaśniono, że repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu.
"Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona"
- czytamy na portalu MIM UW.
Nieznany sprawca mógł mieć dostęp do danych
Administrator dokonał analizy ryzyka incydentu i oszacował wartość ryzyka jako wysoką. Nieznany sprawca mógł mieć nieuprawniony dostęp do danych społeczności akademickiej takich jak:
- imiona i nazwisko,
- informacja o zmianie nazwiska,
- nazwisko panieńskie,
- płeć,
- zdjęcie,
- PESEL,
- data urodzenia,
- obywatelstwo,
- nr indeksu,
- numery telefonów (prywatne/służbowe),
- adres e-mail (prywatny, służbowy, studencki),
- adresy korespondencyjne,
- stopień naukowy,
- status osoby: student/pracownik,
- program studiów,
- a także funkcje pełnione na uczelni.
Co można zrobić z wykradzionymi danymi?
MIM UW informuje, że osoby, których zdarzenie dotyczy - zostały zawiadomione indywidualnie.
Wydział podsumowuje, że dane, do których mogły mieć dostęp osoby niepowołane, mogą pozwolić na:
- uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych,
- podrobienie dokumentu tożsamości;
- uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej oraz do jej danych o stanie zdrowia;
- korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego);
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
- zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
- zawarcia umów cywilno-prawnych;
- założenie konta internetowego;
- podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej);
- otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych.
Wskazane repozytorium kodu źródłowego zostało niezwłocznie usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w Internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie.