- W ukrytym katalogu portalu dostępne było repetytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery PESEL konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repetytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych - wyjaśnia w komunikacie prof. Paweł Strzelecki dziekan Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego.
Incydent miał miejsce na portalu www.mimuw.edu.pl. Okazało się również, że plik z danymi był dostępny na uczelnianym serwisie od 2017 roku. Dostępny był katalog z repozytorium kodu źródłowego, które zawierało:
- imiona i nazwisko,
- informacja o zmianie nazwiska,
- nazwisko panieńskie,
- płeć,
- zdjęcie,
- PESEL,
- data urodzenia,
- obywatelstwo,
- nr indeksu,
- numery telefonów (prywatne/służbowe),
- adres e-mail (prywatny, służbowy, studencki),
- adresy korespondencyjne,
- stopień naukowy,
- status osoby: student/pracownik,
- program studiów,
- funkcje pełnione na uczelni.
Według władz uczelni wyciek danych był spowodowany krytycznym błędem ludzkim.
- Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl - tłumaczy dziekan.
Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.
- Repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu - wyjaśniają władze uczelni.
Hasła są bezpieczne
Dziekan wydziału zaznaczył jednocześnie, że "na żadnym etapie nie wyciekły hasła studentów i pracowników UW". Co więcej, numery dowodów osobistych nie były dostępne dla sprawcy. Incydent został zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury oraz podjęte zostały zdecydowane działania naprawcze.
Ponadto, w komunikacie prof. Strzelecki przeprosił wszystkich członków społeczności akademickiej Uniwersytetu Warszawskiego.
Możliwe konsekwencje
Pozyskanie danych osobowych mogło pomóc nieuczciwym osobom w nielegalnych działaniach, m.in. w uzyskaniu przez osoby trzecie kredytu, dostępu do korzystania ze świadczeń opieki zdrowotnej, podrabianiu dokumentów tożsamości, zakładaniu kont internetowych czy zawieraniu umów cywilno-prawnych.
Strefa Biznesu: Uwaga na chińskie platformy zakupowe
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?