Jako dziekan Wydziału MIM zamieszczam - z przeprosinami, które należą się członkom społeczności akademickiej UW - komunikat o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl. W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła. Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze.
Incydent naruszenia jest wynikiem ludzkiego błędu. Przykro mi, że doszło do tego akurat na Wydziale MIM. Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych.
Administrator danych osobowych - Uniwersytet Warszawski z siedzibą w Warszawie przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa - w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) z przykrością, a zarazem ze szczerymi przeprosinami, informuje o możliwości naruszenia ochrony danych osobowych członków społeczności akademickiej Uniwersytetu Warszawskiego, w związku z incydentem opisanym niżej.
W dniu 5 listopada 2020 r., po zawiadomieniu Uniwersytetu Warszawskiego przez CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery pesel, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl.
Repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu.
Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.
Ponadto, administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w powyższym repozytorium klucza dostępu, który umożliwiał wysyłanie indywidualnego zapytania API, dotyczącego konkretnej osoby, do bazy uczelnianej, udostępniającej poszerzony zakres danych
Administrator dokonał analizy ryzyka incydentu zgodnie z „Recommendations for a methodology of the assessment of severity of personal data breaches” wydanymi przez European Union Agency for Network and Information Security (ENISA - Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i oszacował wartość ryzyka jako wysoką.
Administrator stwierdził, że dostęp do tego klucza umożliwiał nieznanemu sprawcy nieuprawniony dostęp do danych osobowych tych członków społeczności akademickiej Uniwersytetu Warszawskiego, których dane osobowe znajdowały się w powyższym repozytorium, w następującym zakresie:
Uwaga: numery dowodów osobistych nie były dostępne dla sprawcy, który posłużyłby się tą metodą ataku.
Uprzejmie informujemy, że osoby, których zdarzenie dotyczy - gdyż ich numery pesel znajdowały się w wyżej wymienionym repozytorium na serwerze www.mimuw.edu.pl - zostały zawiadomione indywidualnie.
W przypadku jakichkolwiek obaw lub wątpliwości, prosimy o niezwłoczny kontakt na adres mailto:iod@adm.uw.edu.pl. Postaramy się odpowiedzieć na wszelkie pytania i zapewnić niezbędne wsparcie.
Możliwe konsekwencje:
Niestety, pozyskanie powyższych danych osobowych mogło pomóc nieuczciwym osobom w nielegalnych działaniach, m.in.:
Zaistniałe zdarzenie zostało zgłoszone jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Uniwersytet złożył także zawiadomienie do prokuratury o możliwości popełnienia przestępstwa.
Ponadto wskazane repozytorium kodu źródłowego zostało niezwłocznie usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Pion informatyczny Wydziału Matematyki, Informatyki i Mechaniki UW aktualnie prowadzi audyt serwisu, którego celem jest zminimalizowanie ryzyka, które wystąpiło w wyniku incydentu. Został powołany tzw. zespół kryzysowy, którego zadaniem jest pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości. Ponadto planowane jest przeprowadzenie audytu zewnętrznego przez niezależnego audytora. Administrator danych osobowych jest w stałym kontakcie z CERT Polska. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w Internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie.
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również:
Jeżeli dowie się Pani/Pan o próbie wykorzystania Pani/Pana danych przez osobę nieuprawnioną, prosimy o skontaktowanie się z nami. Ponadto, jeżeli ma Pani/Pan jakiekolwiek pytania lub chce Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym inspektorem ochrony danych:
Dominik Ferenc - Inspektor Ochrony Danych UW
Uniwersytet Warszawski, ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa
adres e-mail: iod@adm.uw.edu.pl
(odpowiedzi na maile udzielane są zgodnie z kolejnością zgłoszeń)
tel.: 22 55 22 042 (poniedziałek - piątek w godz. 10.00-13.00)
Raz jeszcze wszystkich Państwa przepraszam.
Paweł Strzelecki
Dziekan Wydziału MIM