Ogromny wyciek danych na Uniwersytecie Warszawskim. „Naruszenie w wyniku błędu ludzkiego”
W komunikacie zamieszczonym na stronie internetowej Wydziału Matematyki, Informatyki i Mechaniki dziekan wydziału Paweł Strzelecki poinformował o ogromnym wycieku danych.
„ Jako dziekan Wydziału MIM zamieszczam - z przeprosinami, które należą się członkom społeczności akademickiej UW - komunikat o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl” – czytamy w oświadczeniu. „ W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych” – tłumaczy dziekan.
Strzelecki przyznał, że do naruszenia doszło w wyniku błędu ludzkiego. „Przykro mi, że doszło do tego akurat na Wydziale MIM” - dodał.
Jak dosżło do wycieku na UW?
Jak poinformowano w komunikacie repozytorium z danymi było ukryte. Niepokojacy jest jednak fakt, że katalog z danymi studentów, absolwentów i pracowników był na portalu dostępny od 12 czerwca 2017 roku.
„ Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu” – czytamy w oświadczeniu.
Jednak po przejrzeniu logów z systemu administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona, a ryzyko incydentu jest wysokie.
Wyciek na UW. Jakie dane osobowe mogły dostać się w niepowalane ręce?
Repozytorium zawierało następujące dane:
- imiona i nazwisko,
- informacja o zmianie nazwiska,
- nazwisko panieńskie,
- płeć,
- zdjęcie,
- PESEL,
- data urodzenia,
- obywatelstwo,
- nr indeksu,
- numery telefonów (prywatne/służbowe),
- adres e-mail (prywatny, służbowy, studencki),
- adresy korespondencyjne,
- stopień naukowy,
- status osoby: student/pracownik,
- program studiów,
- funkcje pełnione na uczelni.
Jednocześnie władze wydziału podkreślają, że numery dowodów osobistych nie były dostępne. Nie wyciekły także hasła studentów i pracowników.
Wyciek danych na UW. Sprawa trafiła do prokuratury
W oświadczeniu czytamy, że osoby, których dane mogły wyciec zostały powiadomione indywidualnie. Repozytorium kodu źródłowego zostało niezwłocznie usunięte. Uniwersytet złożył także zawiadomienie do prokuratury o możliwości popełnienia przestępstwa, a sprawa została zgłoszona jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.
Poinformowano także o powołaniu zespołu kryzysowego, którego zadaniem jest „pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości” oraz planach przeprowadzenia zewnętrznego audyty w tej sprawie. „Raz jeszcze wszystkich państwa przepraszam” – kończy opublikowane oświadczenie Paweł Strzelecki, dziekan Wydziału MIM.