Skoro tu jesteście, to pewnie musieliście już słyszeć o kradzieży laptopa z danymi kandydatów na studia na SGGW. Przez internet przetoczyła się fala zrozumiałego oburzenia – warto jednak poznać fakty w tej sprawie.
21 listopada SGGW poinformowała, że ponad dwa tygodnie wcześniej, 5 listopada, skradziono laptopa zawierającego obszerne dane osobowe kandydatów na studia na tej uczelni z ostatnich kilku lat. Na osoby, które mogły znaleźć się w gronie poszkodowanych, padł blady strach – i to absolutnie zrozumiałe. Pragniemy jednak trochę uspokoić – najprawdopodobniej złodzieje laptopa nie wiedzieli, co ukradli i nie zrobili żadnego użytku z przejętych danych.
Co ma wspólnego laptop i dziurawa opona
Pilne śledzenie komunikatów prasowych policji to dość egzotyczne hobby, ale przyznajemy się do niego bez wstydu, bo czasem pozwala znaleźć ciekawe informacje – taką na przykład jak ta. Jest to komunikat mówiący o zatrzymaniu trzech Gruzinów, którzy trudnili się w Warszawie kradzieżami „na kolec”. Przekłuwali oponę w samochodzie ofiary, a następnie – gdy ofiara zajmowała się kołem – zajmowali się jej bagażem, kradnąc plecaki, torby i portfele.
Jak mówi komunikat policji:
Prawdopodobnie w ten sam sposób sprawcy weszli w posiadanie laptopa będącego własnością jednej z warszawskich uczelni wyższych, w którym zładowały (sic!) się dane osobowe kandydatów na studia.
W późniejszej komunikacji policja potwierdziła, że chodziło o prywatnego laptopa pracownika SGGW, który – z do tej pory niejasnych przyczyn – chomikował na nim dane kandydatów na studia, prawdopodobnie w formie niezaszyfrowanej.
Policja poinformowała także, że mimo odzyskania części skradzionych przedmiotów, feralnego laptopa do tej pory nie odzyskano. Sposób działania przestępców wskazuje jednak na to, że laptop najprawdopodobniej skończył w jakimś lombardzie.
Skutki dla poszkodowanych
Sytuacja osób, których dane mogły znajdować się na tym komputerze, nie jest idealna, lecz prawdopodobieństwo, że ktoś z tych danych zrobi użytek, jest na szczęście znikome. Biorąc pod uwagę poziom nagłośnienia sprawy, jeśli tylko ktoś przypadkowo na te dane trafi, to albo je skasuje i o wszystkim zapomni, albo zaniesie komputer na komendę, by pozbyć się problemu. Najbardziej prawdopodobne jest to, że osoba, do której komputer trafił, po prostu sformatowała jego dysk i nawet nie wie, co tam wcześniej było.
To oczywiście nie zmniejsza odpowiedzialności SGGW za nieuprawnione działanie jej pracownika. Bardziej niż faktem zgromadzenia danych na prywatnym laptopie jesteśmy jednak zaskoczeni faktem, że były posiadacz tego laptopa przyznał się, co się na nim faktycznie znajdowało. To dość niecodzienne – w znanych nam historiach pracownicy z reguły minimalizują wagę utraconych informacji, by ograniczyć swoją odpowiedzialność, licząc na to, że prawda nie wyjdzie na jaw. Ciekawe, czy okradziony pracownik SGGW żałuje teraz swojej decyzji o ujawnieniu zawartości komputera.
Nie każdy wyciek to wyciek
Jak zatem pokazuje opisany powyżej przypadek, choć łatwo zawołać „wyciek danych” i zliczać kliknięcia w artykuł, nie każdy incydent utraty danych prowadzi do ich nieuprawnionego ujawnienia. Wiele informacji jest po prostu gubionych – a wtedy trudno klasyfikować te zdarzenia jako wycieki.
Komentarze
No to było wiadomo od początku, pozdrowienia dla baranów co były przekonane że zwykły złodziej zaraz rozkręci kampanię phishingową.
Sam jesteś baranem. Po nagłośnieniu sprawy, nowy „właściciel” mógł oddać dane kumatemu, żeby opchnął je dalej. Co to dziś za filozofia? Nawet 100 zł to dla takiego pasera zysk. Ktoś mógłby je odkupić dla samego szantażu sggw, niekoniecznie phishingu.
Skutki mogą się pojawić dopiero po kilku miesiącach.
Teraz wszyscy kupujący laptopy w lombardach będą sprawdzali co znajduje się na twardym dysku. No a nuż w cenie laptopa dostałem bazę danych i będę mógł ją sprzedać przestępcom wyłudzającym pożyczki.
Dzięki RODO baza danych SGGW ma darmową reklamę – prawie każdy o niej wie. Czy ktoś przewidział, że RODO będzie miało takie skutki?
RODO – jeden z naprawdę wyjątkowo dobrych przepisów, który trzyma za mordę tych co beztrosko obchodzą się z danymi. Ale zawsze musi się pojawić albo pieniacz albo cwaniak co je krytykuje. Pieniaczy jest pełno – „a bo pani Basia powiedziała, że nie może tego zrobić bo RODO”. Cwaniaków też – „nie chcę mi się tego robić, powiem że RODO i niech spada na drzewo”, albo – „nakręcajmy motłoch, że RODO złe, może głupki to zniosą a my będziemy handlować ich danymi jak kiedyś”.
RODO powstało wyłącznie w celu generowania budżetowych posad z wynagrodzeniami oderwanymi od realiów, bezcelowe urzędy których jedynym celem jest kontrola kwitów tzw. dupochronów, stan faktyczny urzędu nie interesuje.
W żadnym realny przypadku wyłudzenia na skradzione dane żaden urząd nie pomógł i nie pomoże pokrzywdzonemu obywatelowi który o oszustwie dowiaduje się od komornika z prawomocnym wyrokiem niezwisłego sądu …
Ile w skali kraju kosztuje rodo papiery, szkolenia, etaty inspektora ochrony danych w każdej budżetowej instytucji od urzędów centralnych do wsiowych gmin, szkół, przychodni itp. ?
Ja na RODO nie narzekam. Od czasu wprowadzenia spamerzy grzecznie wypisują mnie ze swoich baz, odpowiadają na maile itp. Kiedyś jeśli wogóle już była informacja i możliwości rezygnacji nikt nie czytał tych informacji.
Nawet na mail który wyciekł w tej dużej bazie na początku roku przychodzą sporadyczne oferty.
Co 100 spam nie ma opcji wypisania.
Więc nie gadajcie że nie pomogło. Inna sprawa że w firmach posr….i się ze strachu i nawet pokasowali nazwiska z karteczek przy pokojach…
Dziwię się że jeszcze są maile imię[email protected]
podpinam się o w 1000% zgadzam!
Pierwsze co bym zrobił po zajebaniu lapka to sprawdzilbym czy nie ma na nim nudesów hot dupeczek, a potem bitcoinów :p
Biorąc pod uwagę obszar na jakim działali złodzieje to rozumiem, ze policja w swym nieskończonym geniuszu nie zadała sobie trudu i nie sprawdziła lokalnych lombardów?
lokalnych ?
gdyby cos zajumal na polnocy Polski to kupilbym bilet weekendowy pkp i pojechal opylic na poludnie (:
shh prosze nie sprawdzać kamer pkp xD
Zdziwiłbyś się jak inteligentni są ludzie. Lustrzanka wypożyczona na rewers znalazła się w najbliższym lombardzie. Po tym jak ukradł ją znajomy syna wypożyczającej.
Ja w zapewnienia policji nie wierzę i biorę sporą poprawkę na to co wygadują. Takich danych nie można nie zauważyć i nie zrobić z nich użytku. Nawet najbardziej nieogarnięty rabuś poda takie dane dalej, tym którzy się bardziej znają. Dlatego lapka nie odnaleźli.
Otóż to, może to być celowa dezinformacja uspokajająca policji zastosowana po to, żeby skrzywdzeni przez głupotę pracowników SGGW studenci i ich rodziny zanadto źle o polskim teoretycznym państwie nie myśleli…
A jeżeli to jednak prawda to też się dziwię dlaczego natychmiast nie zrobili wycieczki po okolicznych lombardach. Laptopów sprzedaje się mniej niż telefonów. Poza tym klienta-Gruzina łatwiej zapamiętać sprzedawcy niż Polaka czy nawet Ukraińca.
Nie wiem jak inni ale Czesio zawsze czesze kupione w lombardach dyski i laptopy w poszukiwaniu zdjec Karynek. Dane personalne oczywiscie nie leza w zakresie zainteresowan Czesia i Czesio zapewnia ze gdyby na takie natrafil natychmiast pomyslalbym o zatroskanym prawowitym wlascicielu nie majacym dostepu do danych.
I wrzucilby je na pastebina albo inne podobne.
Tak z czystej zyczliwosci i checi pomocy.
Kilka ładnych lat temu kupiłem dysk zewnętrzny w lombardzie i na liście plików w głównym katalogu były tytuły wskazujące na filmy pornograficzne z udziałem zwierząt.
Wyczyściłem natychmiast zerami cały obszar dysku. Ale do teraz się dziwię, że ludzie mając takie zboczenia trzymają dane w taki sposób.
Dość optymistyczne wnioskowanie. Poza tym nie wiemy czy ów pracownik w rzeczywistości nie zaniżył skali problemu.
Ty miałeś bsd.miki.eu.org?
Lepsze pytanie to czy ow pracownik jest nadal pracownikiem i jakie kroki podjela SGGW aby do takich sytuacji nie dochodziło w przyszlosci.
Najlepsze jest to, że zniknięcia laptopa nie da się przeoczyć (i afera gotowa). A tego ile osób korzysta niepostrzeżenie z wyciekniętego hasła jakiegoś pracownika, to już nie wiadomo. Ale ważne, że właściciel wyciekniętego hasła nie zgubił laptopa.
Czy sytuacja, w której bez wiedzy administratora danych osobowych – czyli SGGW, te dane są powielane (czyli przetwarzane) na zewnętrzny nośnik danych (nie należący do SGGW) to nie jest wyciek danych?!
Haha, policja.pl nie potrafi nawet udostępnić Sowiej strony po https.
Że tak zapytam: a po co niby?
Jest wiele przyczyn, ale chociażby po to, aby utrudnić wstrzyknięcie złośliwego kodu administratorom hotspota.
Technicnie jest to wyciek danych i zapewnienia ze prawdopodobienstwo jest znikome i „Nie każdy wyciek to wyciek” niewiele daje. To ze te dane nie sa w Internecie juz nie znaczy ze za pol roku nie beda albo okaze sie ze jednak ktos robi z nich uzytek. Nawet jezeli pojedyncza osoba zacznie te dane przegladac ktora np ukradala laptopa to tez nie wyciek danych ?
Dokładnie tak i stwierdzenie „…Wiele informacji jest po prostu gubionych – a wtedy trudno klasyfikować te zdarzenia jako wycieki…” z mojego punktu widzenia niepotrzebnie bagatelizuje ten przypadek :/
A teraz pracownik odczeka trochę i użyje danych do złych celów i wina spadnie na domniemanych złodziei
ciekawe czy publiczna uczelnia dostanie karę porównywalną do Morele, umyślne skopiowanie danych kandydatów to większe przewinienie niż bycie ofiarą ataku przestępców
Droga Redakcjo,
ehh, (..)nie każdy wyciek to wyciek(..)
to może inaczej:
nie każdy artykuł to artykuł
smutne, ale każdemu zdarza się zbłądzić
„Nie każdy wyciek to wyciek
Jak zatem pokazuje opisany powyżej przypadek, choć łatwo zawołać „wyciek danych” i zliczać kliknięcia w artykuł, nie każdy incydent utraty danych prowadzi do ich nieuprawnionego ujawnienia. Wiele informacji jest po prostu gubionych – a wtedy trudno klasyfikować te zdarzenia jako wycieki.”
Dopiero teraz przyszło mi odpisać.Adam nosz k… co ty drogą Niebezpiecznika i jego wpadki z Nordem idziesz ?! KAŻDY WYCIEK TO WYCIEK.KROPKA. I ŻADNE PRAWDOPODOBIEŃSTWO NIE MA TU NIC DO RZECZY.
Pewnie,że dysk mógł zostać sformatowany przez nowego właściciela czy lombard tak po prostu i wtedy baza może nie pójdzie dalej.
Ale niestety trzeba zakładać najgorsze a nie najlepsze. Tym bardziej,że Policja albo (tradycyjnie) dała d.py nie obskakując wszystkich lombardów albo lombard jak zwykle „nic nie wie,nic nie miał” (paser na większym legalu = lombard),albo inaczej laptop „zniknął jak kamień w wodę”. Samo formatowanie też nie chroni tak „skasowanych” danych – tym bardziej zwykłe usunięcie do którego ktoś się mógł ograniczyć (o ile ktoś coś tu robił !), jak ktoś się uprze by choć część z danych odzyskać,no o tym przecież dokładnie wiesz będąc akurat w tej branży. Sprawa nie jest wesoła i ofiary to powinny podjąć odpowiednie kroki nawet mimo „ograniczonego prawdopodobieństwa”.
Idąc dalej.Wina pracownika uczelni jest NIEPODWAŻALNA tak czy siak.
Na cholerę to gromadził,a tym większym skandalem ale i oczywistością jeśli patrzeć na cyberbezpieczenstwo w uczalniach* (*”błąd” celowy) jest to,że tego nie szyfrował.No ale trudno żeby szyfrował skoro był tak durny by to zbierać i przyznać się do utraty takich danych (to ostatnie akurat w sumie dobrze)…
Dziwie sie ze ludzie w czasach RODO choćby kontenera truecrypta lub veracrypta nie stosują. Przecież to takie proste, samo sie konfiguruje.
Toż to zawsze warto mieć zwłaszcza na laptopie którego ryzyko utraty jest znacznie podwyższone.
Nawet głupie dokumenty warto szyfrować, przynajmniej nie ma problemu z kasowaniem dysku przy sprzedaży…