Ogromny wyciek danych na Uniwersytecie Warszawskim. „Naruszenie w wyniku błędu ludzkiego”

Ogromny wyciek danych na Uniwersytecie Warszawskim. „Naruszenie w wyniku błędu ludzkiego”

Komputer, zdjęcie ilustracyjne
Komputer, zdjęcie ilustracyjne Źródło: Fotolia / Tomasz Zajda
„Incydent naruszenia jest wynikiem ludzkiego błędu. Przykro mi, że doszło do tego akurat na Wydziale MIM” – napisał w komunikacie dziekan Wydziału Matematyki, Informatyki i Mechaniki. Wśród danych, do których dostęp mogły uzyskać osoby nieuprawnione były m.in. imiona i nazwiska studentów i pracowników uczelni, ich numery PESEL, adresy, adresy e-mail, czy numery telefonów.

W komunikacie zamieszczonym na stronie internetowej Wydziału Matematyki, Informatyki i Mechaniki dziekan wydziału Paweł Strzelecki poinformował o ogromnym wycieku danych.

Jako dziekan Wydziału MIM zamieszczam - z przeprosinami, które należą się członkom społeczności akademickiej UW - komunikat o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl” – czytamy w oświadczeniu. „ W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych” – tłumaczy dziekan.

Strzelecki przyznał, że do naruszenia doszło w wyniku błędu ludzkiego. „Przykro mi, że doszło do tego akurat na Wydziale MIM” - dodał.

Jak dosżło do wycieku na UW?

Jak poinformowano w komunikacie repozytorium z danymi było ukryte. Niepokojacy jest jednak fakt, że katalog z danymi studentów, absolwentów i pracowników był na portalu dostępny od 12 czerwca 2017 roku.

Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu” – czytamy w oświadczeniu.

Jednak po przejrzeniu logów z systemu administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona, a ryzyko incydentu jest wysokie.

Wyciek na UW. Jakie dane osobowe mogły dostać się w niepowalane ręce?

Repozytorium zawierało następujące dane:

  • imiona i nazwisko,
  • informacja o zmianie nazwiska,
  • nazwisko panieńskie,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • nr indeksu,
  • numery telefonów (prywatne/służbowe),
  • adres e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • stopień naukowy,
  • status osoby: student/pracownik,
  • program studiów,
  • funkcje pełnione na uczelni.

Jednocześnie władze wydziału podkreślają, że numery dowodów osobistych nie były dostępne. Nie wyciekły także hasła studentów i pracowników.

Wyciek danych na UW. Sprawa trafiła do prokuratury

W oświadczeniu czytamy, że osoby, których dane mogły wyciec zostały powiadomione indywidualnie. Repozytorium kodu źródłowego zostało niezwłocznie usunięte. Uniwersytet złożył także zawiadomienie do prokuratury o możliwości popełnienia przestępstwa, a sprawa została zgłoszona jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

Poinformowano także o powołaniu zespołu kryzysowego, którego zadaniem jest „pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości” oraz planach przeprowadzenia zewnętrznego audyty w tej sprawie. „Raz jeszcze wszystkich państwa przepraszam” – kończy opublikowane oświadczenie Paweł Strzelecki, dziekan Wydziału MIM.

Czytaj też:
Adam Bodnar pisze do ABW. Powodem wyciek informacji o Marcie Lempart

Źródło: WPROST.pl