06.05.2020 | 14:35

Adam Haertle

Kto wykradł dane studentów Politechniki Warszawskiej i dlaczego ich nie sprzedaje

Większość incydentów, z którymi mamy do czynienia, przebiega według jednego z popularnych scenariuszy. Nawet gdy nie wiadomo, kto kradnie, to wiadomo, po co i jakie czerpie z tego korzyści. W przypadku ataku na OKNO sprawa wygląda inaczej.

Gdy w poniedziałek rano jako pierwsi ujawniliśmy i opisaliśmy wyciek danych studentów Politechniki Warszawskiej, nie mieliśmy najmniejszych wątpliwości, że do ataku faktycznie doszło, a ujawnione dane pochodzą z serwera uczelni. Ujawnione nam dane wyglądały bardzo wiarygodnie – ich fabrykowanie na taką skalę było zupełnie niepraktyczne. Dodatkowo przed publikacją potwierdziliśmy prawdziwość ujawnionych informacji z jedną z poszkodowanych w wycieku osób. Do ataku doszło zatem na 100% (co potwierdziła również Politechnika) – pytanie zatem, kto go dokonał i jaki cel mu przyświecał.

Kwestia motywacji

Różne są wycieki. Najczęstsze scenariusze to:

  • otwarta baza w internecie – ktoś miły znajduje, zgłasza, opisuje, koniec sprawy,
  • kradzież przez przestępców – sprzedają, dopóki ma wartość, potem trafia do internetu,
  • kradzież przez „hacktywistów” – publikują dla sławy lub by świat płonął.

Atak na Politechnikę Warszawską nie pasuje do żadnego z tych scenariuszy. Baza nie była „otwarta w internecie”. Włamywacz nie zaoferował danych na sprzedaż. Skąd to wiemy? Wartość danych znacząco spada, gdy ofiary wiedzą o kradzieży. Celem włamywacza było nagłośnienie incydentu, ponieważ link do wykradzionej bazy wysłał do nas i do jakiegoś innego serwisu. Gdyby chodziło o pieniądze, to nigdy nie pisałby o wycieku do dziennikarzy. Co więcej, nagłośnienie było pierwszym celem – między wykradzeniem bazy a jej wysłaniem do redakcji upłynęło zaledwie kilka godzin. W naszej ocenie można z dużym prawdopodobieństwem powiedzieć, że ta baza nie trafiła i nie trafi do sprzedaży. Wbrew krążącym po internecie plotkom, według naszej wiedzy baza nie została wystawiona na żadnym forum (jeśli się mylimy, to musicie dać linka).

Czy zatem włamywacz jest „hacktywistą”? Prawdopodobnie tak, lecz nie chce, by świat płonął. Mógł link do bazy wrzucić na Wykop czy Cebulkę – a wysłał go do redakcji, która przeprowadzi analizę i powiadomi świat, nie narażając użytkowników na uszczerbek.

Dziwne tropy

Niestety z włamywaczem nie mamy innego kontaktu niż pasywny, przez ten artykuł. Pomijając kwestie techniczne – komunikuje się z nami tak, że wiemy, że to on i nikt pod niego się nie podszywa, lecz kanału zwrotnego zasadniczo brak. Włamywacz dysponuje też sporą wiedzą i umiejętnościami IT, jednak nie wszystko, co pisze, się potwierdza.

Jakiś inny serwis podał dzisiaj informację, że wcześniej doszło już do wycieków z bazy OKNO. Oparł ją zapewne na identycznej wiadomości, jaka dotarła też do nas. Weryfikowaliśmy ją i nie jesteśmy przekonani, że jest w 100% wiarygodna. To oczywiście nie znaczy, że wcześniejszych wycieków nie było – patrzcie niżej.

W drugiej wiadomości, którą otrzymaliśmy od włamywacza, twierdzi on, że miały wcześniej miejsce analogiczne incydenty (w liczbie mnogiej). Wskazuje także na przedział czasu (okolice przełomu roku) i metodę ataku, czyli błąd SQLi w jednym z plików serwisu re.dokno.pw.edu.pl. Plik załącza do wiadomości. Informuje także, że po wykryciu incydentu plik został skasowany i nikt nie został poinformowany o incydencie. Plik daliśmy do analizy dwóm ekspertom i ich analiza wskazuje, że nie ma w nim błędu typu SQLi. Jedyny trop to odwołanie do zewnętrznej funkcji, która – być może – taki błąd posiadała. Jeśli zatem plik miał być dowodem słuszności pozostałych twierdzeń, to słaby to dowód. Anonimowy Włamywaczu, podeślij coś bardziej weryfikowalnego!

Bez wątpienia atakujący udowodnił natomiast, że posiadał dostęp do systemu plików serwisu.

Podsumowanie

Nasza analiza oparta o dane dostępne do tej chwili wskazuje, że sprawcą ataku jest ktoś, komu zależy raczej na tym, by dane studentów PW były bezpieczne, niż na tym, by trafiły w ręce prawdziwych przestępców, którzy mogliby zrobić z nich użytek. Celem włamywacza wydaje się zmotywowanie władz Politechniki Warszawskiej do położenia większego nacisku na bezpieczeństwo systemów IT przechowujących dane studentów. Do tej pory ta działka była raczej zaniedbana (za argument niech wystarczą nasze artykuły o tym, jak przejąć konto poczty studenta PW lub jak PW zareagowała na naszą publikację). Jeśli wierzyć innym informatorom, strategia włamywacza zaczęła działać:

Wiadomość od innego informatora

Pozostaje mieć nadzieję, że ten incydent będzie dobrą okazją do wymuszenia podniesienia standardów bezpieczeństwa danych na PW.

Dla studentów PW, zaniepokojonych swoją sytuacją

Niestety treść tego artykułu jest tylko trochę uspokajająca. To, że baza jeszcze nie wyciekła w ręce przestępców, nie gwarantuje, że do tego nie dojdzie. Można oczywiście mieć nadzieję, że nasza ocena sytuacji jest słuszna i dane nie trafią na czarny rynek, ale taka możliwość faktycznie istnieje i warto mieć to na uwadze, oceniając ryzyko ujawnienia danych i kroki potrzebne do ograniczenia jego skutków (zmiana haseł, wymiana dowodu osobistego, ustawienie alertów w różnych serwisach monitorujących zapytania kredytowe).

Bezpieczeństwu kont i haseł poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 10%.
Powrót

Komentarze

  • 2020.05.06 14:56 Amadeusz

    Jestem studentem OKNA i na początku roku zauważyłem, że jedna ocena końcowa z przedmiotu mi zniknęła, napisałem do prowadzącego i dostałem taką odpowiedź:

    „Nie wiem co się stało, oceny były wpisane, podpisane protokoły przedmiotu zaniosłem do Sekretariatu OKNO w grudniu. W tej chwili ocena nie zniknęła tylko Panu. Zostały 2 oceny(?!). Nie ja za to odpowiadam prawdopodobnie coś się popsuło w systemie. Ale jest to do odtworzenia, więc proszę się nie martwić. Na razie poczekam czy ci co popsuli odpsują.”

    Może to zbieg okoliczności, a może nie

    Odpowiedz
    • 2020.05.06 21:52 Politeusz

      Zapewne admini po cichu przywrócili kopię zapasową po jednym z włamań.

      Odpowiedz
  • 2020.05.06 15:00 Florian

    Jedna z osób poszkodowanych napisała na grupie osób poszkodowanych o tym, że przejęto jej konto email u polskiego dostawcy. Piszcie na maila jeżeli chcecie więcej informacji.

    Odpowiedz
    • 2020.05.07 20:08 Adrian

      Jeśli myślimy o tej samej grupie i osobie, to później sprostowała, że przejęcie konta email jednak nastąpiło przed szacowaną datą wycieku z PW. Jeśli temu wierzyć, to brzmi jak zbieg okoliczności.

      Odpowiedz
  • 2020.05.06 16:02 student

    Jestem studentem OKNA i pojawiła mi się myśl, że jednym z powodów ataku mogła by być kwestia nagłośnienia sprawy zniżek opłat za studia z powodu trudnej sytuacji finansowej studentów podczas epidemii.
    Początkowo pojawiła się oficjalna decyzja rektora PW o obniżeniu opłat do 50%. Wielu studentów korzystając z okazji zapisało się na więcej przedmiotów. Następnie decyzja o zniżkach została zniesiona dla studentów OKNA. Wielu studentów uważało te działania za niezgodne z prawem i wprowadzające w błąd.

    Odpowiedz
    • 2020.05.07 06:20 kw

      to bardzo ciekawy wątek

      Odpowiedz
  • 2020.05.06 16:14 Mateusz

    A droga redakcjo wiadomo czy to dane aktualnych studentów (jak twierdzi obecnie PW), czy są tam też np moje dane (na okno miałem konto na potrzeby jakiejś podyplomówki w 2010 roku)? Dowód to i tak w międzyczasie zmieniałem, ale od kiedy to komuś w Polsce przeszkadza we wzięciu lipnej pożyczki? Nie mówiąc o innych potencjalnych konsekwencjach.

    Odpowiedz
  • 2020.05.06 16:17 Borygo

    „Jakiś inny serwis”. No ja p….e. Tak się konkurencji boicie, że nawet jej nazwy nie napiszecie?

    Odpowiedz
  • 2020.05.06 18:36 Lucy

    Na maile z wycieku PW ślą już grożby dotyczące ujawnienia nagich zdjęć, jeśli się nie zapłaci okreslonej kwoty w ciągu kilkunastu godzin – temat wiadomości z hasłem okno ;-) Zacniutko :)

    Odpowiedz
    • 2020.05.07 09:09 adamh

      Te emaile przychodzą na wszystkie konta od dwóch lat. W ostatnim tygodniu widzieliśmy ze 100.

      Odpowiedz
  • 2020.05.06 18:51 xyz

    Jutro o 16 ma się odbyć wideokonferencja z władzami uczelni na ten temat.

    Odpowiedz
  • 2020.05.06 19:02 84857474298et7

    Dzisiaj usłyszałem, że aktualizacja ważnej aplikacji do obsługi sprzętu w jednej instytucji wyceniono na 4 tys zł i to za dużo bo trzeba było wykupić Office 365 za 25 tys i kasa na IT się skończyła. Z takim podejściem daleko nie zajedziemy, ale strasznie trudno się przebić.

    Odpowiedz
  • 2020.05.06 20:42 łoku

    Redakcjo, nie złośćcie włamywacza, bo upublicznić pewnie może cały czas.
    Ciekawe czy to były/obecny pracownik?
    Nie tylko na PW jest teraz panika.

    Odpowiedz
  • 2020.05.06 22:10 Adam

    Bardzo ciekawa analiza i może być w niej wiele prawdy. Też poszukiwałem tej bazy na różnych cebulowych forach- bez żadnego skutku. Paradoksalnie powinniśmy mu (piszę to jako student OKNO) być wdzięczni, bo jeśli zabezpieczenia były tak słabe a strona niedoinwestowana to w innym scenariuszu o jej wycieku dowiedzielibyśmy się od komorników czy na komisariacie gdzie trzeba byłoby się tłumaczyć dlaczego na koncie założonym na nasze nazwisko były przelewane pieniądze pochodzące z przestępstwa itp. Powiedzmy sobie jasno- mogło być duuuużo gorzej, przede wszystkim daję sobie rękę obciąć, że PW nie zauważyłaby wycieku a my bylibyśmy do końca nieświadomi. Wszystko wskazuje na to, że zachowanie sprawcy to taka terapia prądem dla władz uczelni.

    Odpowiedz
  • 2020.05.06 22:27 Herman

    One zostały uwolnione wszak informacja chce być wolna. Zaiste

    Odpowiedz
  • 2020.05.07 08:53 TrudnyPytacz

    Przeciez wlamywacz nie wyslal Wam pliku 3GB, wiec gdzies w internecie musial go zamiescic. A moze wierzycie w prywatnosc w internecie?

    Odpowiedz
    • 2020.05.07 09:07 adamh

      Link był wystarczająco unikatowy.

      Odpowiedz
      • 2020.05.07 10:16 KokosZaOrzecha

        Ale widzialy go juz dwa tuziny ludzi w co najmniej dwoch redakcjach.

        Zalozymy se, ze ten link/plik wyplynie?

        Odpowiedz
  • 2020.05.07 10:03 Kw

    Włamywaczu jeśli to czytasz nie udostępniaj proszę tych danych, może to naiwne co pisze, ale mam nadzieję, że chciał komuś utrzeć nosa i mieć satysfakcję.
    Czytając o całej sytuacji wychodzi wiele brudów, kompletnej arogancji oraz braki w myśleniu o potencjalnych konsekwencjach. Powoli szersze media się tym interesują co miejmy nadzieję było intencją tej osoby. Serio nawet lektura komunikatu, maili od PW czy mecenasa na rozmowie z poszkodowanymi na chacie świadczy jaka tam siedzi arystokracja. Masakra.

    Odpowiedz
  • 2020.05.07 11:27 siema

    Ciekawy jestem ile pieniędzy za reklamę płatnych usług ktoś wziął, lub kto jest wujkiem lub kolegą panów co te usługi oferują w mailingu o wycieku danych. Jedyne 150zł za rok zapłać a my ciebie ochronimy, to już pod mafie podchodzi. Grunt to na wycieku danych jeszcze zarobić, można wtedy takie wycieki robić co roku.

    Odpowiedz
  • 2020.05.07 14:49 Wieczny_Student

    A mnie bardzo ciekawi co zawierało się o nas w:

    „oraz wiele dodatkowych, mniej istotnych danych.”

    Odpowiedz
  • 2020.05.07 17:24 Adam

    Panowie z Niebezpiecnzika i zaufanatrzeciastrona,

    Dziś na video meetingu z PW i mecenasem, który PW reprezentuje w tej sprawie, mecenas powoływał sie na wasz artykuł. Stwierdził, że zgodnie z powyższym artykułem dane nie zostały sprzedane i są bezpieczne wiec PW nie ma podstaw aby myslec, że dane wyciekły :)
    Także uważajcie co piszecie bo PW to czyta i wykorzystuje aby sie wymigac.

    Odpowiedz
    • 2020.05.07 17:54 adamh

      Dane wyciekły – bo przecież je widzieliśmy. A poza tym to mamy kłamać że są na Darknecie?

      Odpowiedz
      • 2020.05.07 21:07 Adam

        Politechnika twierdzi że w wyciekniętych danych nie było nazwiska panieńskiego matki. Że kolumna w bazie danych była – owszem, ale dla wszystkich pusta i od dawna takie dane nie były zbierane. Redakcjo, czy moglibyście to potwierdzić / zaprzeczyć?

        Odpowiedz
        • 2020.05.07 21:49 siema

          No nie było bo było nazwisko rodowe czy to to samo może wg „ekspertów” z PW nie.
          Cytuje maila:
          „W Pan/Pani przypadku ujawnieniu uległy następujące dane: imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.”

          Odpowiedz
    • 2020.05.07 18:20 ^^

      są w dobrych rękach

      Odpowiedz
    • 2020.05.07 18:22 Spadochroniarz

      Pełna zgoda, beton PW wykorzystuje potencjalne dobre intencje włamywacza do zamiecenia wszystkiego pod dywan. Jak tak dalej pójdzie to koleżka opublikuje wszystko by dać im nauczkę.

      Jest jakieś publiczne nagranie z tego meetingu, albo chociaż podsumowanie?

      Odpowiedz
  • 2020.05.07 19:57 Olo

    Według władz uczelni w bazach nie było nazwisk rodowych matek. Bardzo chciałbym wiedzieć, czy tak jest w istocie, czy nie potrafią własnej bazy ogarnąć.

    Odpowiedz
    • 2020.05.08 08:16 DyzioRealista

      A kto podaje autentyczne nazwisko rodowe matki? Wszystkim bankom gdzie mam konta podawalem falszywe nazwisko rodowe, bo wiem, ze bank nie ma zadnej mozliwosci zweryfikowania tego.

      Dlatego polecam wszystkim klamac w formularzach ile sie da. Jak ktos nie jest w stanie wykryc klamstwa, to znaczy, ze tych danych tak naprawde nie potrzebuje.

      Odpowiedz
      • 2020.05.08 11:48 Bula

        Akurat to nie jest zbyt madre, chyba ze prowadzisz pozniej liste tych nazwisk. Sam mialem przypadek ze zablokowalem sobie dostep do konta i jednym z pytan na infolinii bylo wlasnie panienskie matki – podalem prawdziwe a w formularzu przy zakladaniu bylo inne o czym zapomnialem. Ile bylo pozniej odkrecania tego to szkoda pisac. Juz nie mowiac ze bylem posadzany o to ze podaje sie za kogos kim nie jestem.

        Odpowiedz
      • 2020.05.08 15:34 knoor

        ciekawe czy zobaczyłbyś cokolwiek z odszkodowania gdyby cię okradli. banki wykorzystują każdy pretekst żeby nie wypłacić niczego i fałszywe dane mogą być dobrym pretekstem

        Odpowiedz
  • 2020.05.09 01:55 backdoor

    Na wczorajszej rozmowie mówili, że dane z platformy RED wykradziono prawdopodobnie na podstawie backdoora wrzuconego z konta wykładowcy 16 stycznia o którym dowiedzieli się dopiero teraz bo został zamieszczony w bardzo skomplikowany sposób. Dodatkowo 27 kwietnia miał się pojawić inny backdoor w innym miejscu.
    https://www.wykop.pl/wpis/49275749/na-wczorajszej-rozmowie-mowili-ze-dane-z-platformy/

    Odpowiedz
  • 2020.05.21 23:23 s

    chyba jednak ktoś robi z tej bazy danych użytek, bo jestem osobą poszkodowaną w tym incydencie a kilka dni temu dostałem email z banku (nie jestem ich klientem) z info o zawarciu kredytu.
    wyjaśniam to z nimi i mam nadzieję, że to nie prawda i jeśli to faktycznie nie oni go wysłali (nikt nie wziął kredytu) to fałszywy e-mail jest na pewno próbą phishingu.
    UWAŻAJCIE POSZKODOWANI !!!

    Odpowiedz
  • 2020.05.24 18:37 hungrt

    witam
    slowo w slowo jak artykul z niebezpiecznika, nawet tam napisali tez 'wyslal nam i jakiemus innemu serwisowi’

    Odpowiedz

Zostaw odpowiedź do Wieczny_Student

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kto wykradł dane studentów Politechniki Warszawskiej i dlaczego ich nie sprzedaje

Komentarze