Nie jesteś zalogowany | zaloguj się

Wydział Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego
  • Skala szarości
  • Wysoki kontrast
  • Negatyw
  • Podkreślenie linków
  • Reset

Incydent naruszenia danych osobowych w portalu mim

Szanowni Państwo,

Jako dziekan Wydziału MIM zamieszczam - z przeprosinami, które należą się członkom społeczności akademickiej UW - komunikat o incydencie naruszenia danych osobowych, jaki miał miejsce w portalu www.mimuw.edu.pl. W ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW. Dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych. Podkreślamy: na żadnym etapie nie wyciekły hasła. Incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze.

Incydent naruszenia jest wynikiem ludzkiego błędu. Przykro mi, że doszło do tego akurat na Wydziale MIM. Pragnę zapewnić, że podjęliśmy kroki, aby usunąć możliwość nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną analizę i audyt systemów informatycznych WMIM, tak, aby podobna sytuacja nie mogła powtórzyć się w przyszłości. Ściśle współpracujemy z władzami centralnymi UW i będziemy ściśle współpracować ze wszystkimi organami zewnętrznymi, które będą wyjaśniać skutki tego naruszenia danych.

Oto szersze wyjaśnienia:

Administrator danych osobowych - Uniwersytet Warszawski z siedzibą w Warszawie przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa - w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) z przykrością, a zarazem ze szczerymi przeprosinami, informuje o możliwości naruszenia ochrony danych osobowych członków społeczności akademickiej Uniwersytetu Warszawskiego, w związku z incydentem opisanym niżej.

Charakter naruszenia

W dniu 5 listopada 2020 r., po zawiadomieniu Uniwersytetu Warszawskiego przez CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało numery pesel, imiona, nazwiska i adresy e-mail konkretnych studentów, absolwentów, pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl.

Repozytorium z danymi było ukryte. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu.

Po dokonaniu pogłębionej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.

Ponadto, administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w powyższym repozytorium klucza dostępu, który umożliwiał wysyłanie indywidualnego zapytania API, dotyczącego konkretnej osoby, do bazy uczelnianej, udostępniającej poszerzony zakres danych

Administrator dokonał analizy ryzyka incydentu zgodnie z „Recommendations for a methodology of the assessment of severity of personal data breaches” wydanymi przez European Union Agency for Network and Information Security (ENISA - Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i oszacował wartość ryzyka jako wysoką.

Administrator stwierdził, że dostęp do tego klucza umożliwiał nieznanemu sprawcy nieuprawniony dostęp do danych osobowych tych członków społeczności akademickiej Uniwersytetu Warszawskiego, których dane osobowe znajdowały się w powyższym repozytorium, w następującym zakresie:

  • imiona i nazwisko,
  • informacja o zmianie nazwiska,
  • nazwisko panieńskie,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • nr indeksu,
  • numery telefonów (prywatne/służbowe),
  • adres e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • stopień naukowy,
  • status osoby: student/pracownik,
  • program studiów,
  • funkcje pełnione na uczelni.

Uwaga: numery dowodów osobistych nie były dostępne dla sprawcy, który posłużyłby się tą metodą ataku.

Uprzejmie informujemy, że osoby, których zdarzenie dotyczy - gdyż ich numery pesel znajdowały się w wyżej wymienionym repozytorium na serwerze www.mimuw.edu.pl - zostały zawiadomione indywidualnie.

W przypadku jakichkolwiek obaw lub wątpliwości, prosimy o niezwłoczny kontakt na adres mailto:iod@adm.uw.edu.pl. Postaramy się odpowiedzieć na wszelkie pytania i zapewnić niezbędne wsparcie.

Możliwe konsekwencje:

Niestety, pozyskanie powyższych danych osobowych mogło pomóc nieuczciwym osobom w nielegalnych działaniach, m.in.:

  1. uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych, na szkodę osoby, której dane dotyczą (takie instytucje umożliwiają uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); podrobienie dokumentu tożsamości;
  2. uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia (dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą nr PESEL);
  3. korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego);
  4. wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
  5. zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
  6. zawarcia umów cywilno-prawnych;
  7. założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych); podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej);
  8. otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych.

Środki zastosowane

Zaistniałe zdarzenie zostało zgłoszone jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Uniwersytet złożył także zawiadomienie do prokuratury o możliwości popełnienia przestępstwa.

Ponadto wskazane repozytorium kodu źródłowego zostało niezwłocznie usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Pion informatyczny Wydziału Matematyki, Informatyki i Mechaniki UW aktualnie prowadzi audyt serwisu, którego celem jest zminimalizowanie ryzyka, które wystąpiło w wyniku incydentu. Został powołany tzw. zespół kryzysowy, którego zadaniem jest pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości. Ponadto planowane jest przeprowadzenie audytu zewnętrznego przez niezależnego audytora. Administrator danych osobowych jest w stałym kontakcie z CERT Polska. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w Internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie.

Środki proponowane przez UW w celu zaradzenia naruszeniu

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również:

  • skorzystać z możliwości założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania próby uzyskania kredytu (np. Biuro Informacji Kredytowej https://www.bik.pl; Biuro Informacji Gospodarczej InfoMonitor https://big.pl; Krajowy Rejestr Długów https://krd.pl; ERIF Biuro Informacji Gospodarczej S.A. https://erif.pl), w przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłosić ten fakt do organów ścigania;
  • skorzystać z możliwości zastrzeżenia numeru PESEL (np. https://www.bezpiecznypesel.pl); skorzystać z możliwości zastrzeżenia dokumentu tożsamości w systemie dokumenty zastrzeżone (więcej informacji: www.dokumentyzastrzezone.pl) i jego wymiany;
  • skorzystać z https://www.centralnainformacja.pl w celu uzyskania informacji o rachunkach bankowych;
  • monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej);
  • ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców;
  • monitorować stronę internetową https://haveibeenpwned.com/ pod kątem możliwości wycieku danych w postaci adresu e-mail;
  • wykonać zmianę haseł do serwisów poczty elektronicznej, banków i portali społecznościowych (proponujemy w celu generowania haseł korzystanie z menadżerów haseł i wprowadzenie uwierzytelniania dwuskładnikowego);
  • ustawić alerty logowań do wszystkich serwisów do których posiada Pani/Pan dostęp;
  • podawać minimum danych niezbędnych do wykonania określonych czynności przetwarzania.

Gdzie można uzyskać więcej informacji?

Jeżeli dowie się Pani/Pan o próbie wykorzystania Pani/Pana danych przez osobę nieuprawnioną, prosimy o skontaktowanie się z nami. Ponadto, jeżeli ma Pani/Pan jakiekolwiek pytania lub chce Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym inspektorem ochrony danych:

Dominik Ferenc - Inspektor Ochrony Danych UW

Uniwersytet Warszawski, ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa

adres e-mail: iod@adm.uw.edu.pl

(odpowiedzi na maile udzielane są zgodnie z kolejnością zgłoszeń)

tel.: 22 55 22 042 (poniedziałek - piątek w godz. 10.00-13.00)

Raz jeszcze wszystkich Państwa przepraszam.

Paweł Strzelecki

Dziekan Wydziału MIM