Dzisiejszej nocy otrzymaliśmy informacje o wycieku danych osobowych części studentów PW. Chociaż grupa dotknięta wyciekiem to „zaledwie” ponad 5000 osób, to zakres wykradzionych osobowych danych jeży włosy na głowie.
Kilka dni temu opisywaliśmy atak włamywaczy na SWPS i CDV, dzisiaj czas na uczelnię państwową. Informator, pragnący zachować anonimowość, podesłał nam kopię bazy danych serwisu okno.pw.edu.pl. To strona Ośrodka Kształcenia na Odległość Politechniki Warszawskiej, a sama baza zawiera dane osób studiujących w tym właśnie ośrodku. Niestety dane sięgają nawet 12 lat wstecz i są boleśnie szczegółowe.
Zawartość bazy danych
Sama baza to prawie 3 GB danych, zawierająca całą historię edukacji kilku tysięcy osób wraz z programami nauczania, ocenami, opiniami i historią płatności. Jest nawet pełna treść kilkudziesięciu tysięcy e-maili wysłanych do studentów czy logowania do aplikacji. Najbardziej niepokojące są jednak dane osobowe przechowywane w bazie.
Otrzymane przez nas informacje wskazują, że dane osobowe znajdują się głównie w trzech zbiorach. Pierwszy zawiera prawdopodobnie dane nieco ponad tysiąca kandydatów na studia inżynierskie z ostatnich dwóch lat, drugi z kolei to dane ponad pięciu tysięcy studentów z lat 2008-2020, trzeci zaś to dane prawie 200 pracowników naukowych. Zbiory zawierają podobny zestaw informacji, a mianowicie:
- imię i nazwisko,
- login,
- hasz hasła,
- adres e-mail,
- nr telefonu,
- data i miejsce urodzenia,
- narodowość,
- imiona rodziców,
- nazwisko panieńskie matki (AKTUALIZACJA: prawdopodobnie tylko dla kandydatów na studia inżynierskie)
- PESEL,
- NIP,
- rodzaj i nr dokumentu tożsamości,
- adres zamieszkania, zameldowania i korespondencyjny,
- nazwa ukończonej szkoły średniej,
- adresy IP logowań
- oraz wiele dodatkowych, mniej istotnych danych.
Co ciekawe, liczni użytkownicy o dawniejszych datach rejestracji w systemie mają w polu „login” oraz w polu „adres email” dodany ciąg „arch_” (np. „[email protected]), co wskazuje na ciekawą metodę „archiwizacji” starych informacji. Najwyraźniej ten dopisek ma uniemożliwić logowanie w systemie po „archiwizacji” konta.
Co do haszy haseł – ich budowa wskazuje na użycie algorytmu MD5, lecz prawdopodobnie przy tworzeniu skrótu posłużono się solą lub pieprzem, które według naszej wiedzy nie zostały ujawnione. Nie oznacza to, że haseł nie da się złamać – ale oznacza, że nie jest to trywialne dla każdego posiadacza bazy. Aktualizacja – hasze niestety są w czystym MD5 i można je złamać bez większego wysiłku – wygląda na to, że wymagania co do złożoności hasła były relatywnie niskie.
Z otrzymanych przez nas informacji wynika, że do wykradzenia bazy danych mogło dojść w niedzielę 3 maja 2020 około godziny 17 – ostatnie zapisy w bazie pochodzą z tego czasu. Nie wiemy, jakie intencje miał włamywacz – może wykradzione dane zarówno skasować, jak i je sprzedać czy po prostu opublikować online.
O incydencie poinformowaliśmy PW, lecz do momentu publikacji artykułu nie otrzymaliśmy odpowiedzi na wysłane pytania. Oczywiście artykuł zaktualizujemy, gdy tylko dotrą.
Co mogą zrobić ofiary wycieku
Zacznijmy od pytania „Czy jestem na liście”. Odpowiedź brzmi:
- wygląda na to, że są wszyscy studenci OKNO (i tylko OKNO) z ostatnich 12 lat i kandydaci na studia inżynierskie z ostatnich 2 plus pracownicy naukowi,
- PW powinno wkrótce się odezwać z informacją do osób poszkodowanych.
Podstawowymi krokami jest identyfikacja kont, gdzie mogliście mieć to samo hasło, co na PW i pilna zmiana na hasła unikatowe – i zapisanie ich w menedżerze haseł (a przy okazji włączenie dwuskładnikowego uwierzytelnienia tam, gdzie to tylko możliwe).
Z reguły nie zalecamy tego automatycznie ofiarom podobnych incydentów, ale w tym wypadku warto rozważyć unieważnienie i wymianę dokumentu tożsamości na nowy – skala danych, które wyciekły jest przytłaczająca. Obok numeru dowodu osobistego przestępcy mają także PESEL, wszystkie adresy, imiona rodziców i nazwisko panieńskie matki dla sporej części ofiar – a z takimi danymi można wyrządzić już więcej szkody.
Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.
Aktualizacja 14:00
Otrzymaliśmy odpowiedź rzecznika prasowego PW.
Jesteśmy w trakcie ustalania szczegółów zdarzenia, w tym jego skali. Staramy się jak najszybciej dotrzeć do jego przyczyn, aby ustalić źródło potencjalnego ujawnienia danych osobowych i zabezpieczyć je przed nieuprawnionym wykorzystaniem. Jeśli tylko zdarzenie związane z naruszeniem ochrony danych osobowych zostanie potwierdzone, niezwłocznie zostaną podjęte działania w celu zniwelowania skutków naruszenia, a sprawa zostanie natychmiast zgłoszona odpowiednim organom. Już teraz zajmuje się nią Inspektor Danych Osobowych we współpracy ze służbami Politechniki Warszawskiej.
Komentarze
Jestem jedną z osób studiujących na OKNO PW. Można się jakoś z wami skontaktować, żeby sprawdzić, czy figuruje się w bazie?
a) Pewnie jesteś
b) Skontaktuje się z Tobą PW jak tylko sprawdzą co się stało – email od nich będzie ostatecznym potwierdzeniem.
> Skontaktuje się z Tobą PW jak tylko sprawdzą co się stało
Dlatego pytam się Was. Przez parę lat studiów zdążyłem się dowiedzieć, jak szybko kontaktuje się PW :)
RODO ich zmotywuje ;)
rodo? rodo to największy gniot prawny jaki powstał, tu trzeba ludzi od IT i ciągłego wsparcia, a nie rodo i jego śmiesznych obowiązków informacyjnych, które uważane są za najważniejszą rzecz w tym wszystkim
Rodo właśnie sprawi, że do osób, które już u nich nie studiują, ale studiowały to nie będą mieli jak się odezwać :)
Rodo ? xD
Tam babka z dziekanatu podaje twój numer telefonu obcym jak opowiedzą dobrą historyjkę
– Brenner, Jakub Bre-n-n-er. Chciałem mu przesłać partytury do konsultacji.
Cześć, dokładnie ta sama sytuacja. Mogę prosić o potwierdzenie `obecności` ?:)
Też bym poprosił o potwierdzenie obecności w bazie jeśli istnieje taka możliwość.
Po co Ośrodek Kształcenia na Odległość Politechniki Warszawskiej przechowuje takie dane jak imiona rodziców, nazwisko panieńskie matki, oraz numery dowodów?
Czy sejmowi wybrańcy narodu rozwiążą w końcu problem wyłudzania kredytów na dane osobowe, czy będą udawać, że nic się nie dzieje?
co maja doane do wyludzenie ? – twoje dane z PSEL moze pozsykac kazdy zainteresowany – starczy ze umowtywuje prosbe . do wziecia kredytu na twoje dane potrzeba jest by akceptujacy wspoldzialal ze zlodziejami a to nie ma znacenia jzu jak te dane sozostaly pozyskane
Proszę, używaj polskich znaków a także przeczytaj swoją wypowiedź po jej napisaniu. Albo najlepiej w ogóle jej nie pisz jeśli masz tego nie robić :)
W jaki sposób PW sie ze mną skontaktuje? Mój adres email był na serwerze wydziałowym i dawno nie mam dostępu do niego, a adres pocztowy mają nieaktualny.
Mają też prywatny adres email jeśli podałeś.
Każdy musiał podać prywatny na etapie rekrutacji
A co w przypadku, jeśli prywatnego adresu email już nie używam, straciłem do niego dostęp, zapomniałem hasło i nie można go odzyskać?
To twój problem, nie uczelni.
Nie, to uczelnia dopusciła do wycieku danych wrażliwych, więc to problem UCZELNI.
@ziutek, obawiam się, że to problem uczelni, bo składając papiery nie oświadczałem, że adres email będzie wykorzystywany do kontaktu ze mną nawet wtedy, kiedy będę absolwentem. Z resztą istnieją też sytuacje, kiedy portal internetowy oferujący pocztę jest zamykany. Nigdzie też w prawie nie jest napisane, że każdy ma posiadać adres mailowy i że ma obowiązek utrzymywać ten adres aktywny, jeśli podaje go jako punkt kontaktowy z instytucją.
A ja się martwiłam, że Poczta Polska dzięki Ministerstwu Decyfryzacji ma już numer mojego buta i wie, kiedy mam okres, a tu proszę…
Czy jest jakiś sens, by wnioskować do uczelni o zaprzestanie przetwarzania i usunięcie danych po zakończeniu studiów? Czy też są oni zobligowani przechowywać te dane przez jakiś czas?
Do celów archiwalnych muszą te dane mieć. Później dane powinny trafić do archiwum państwowego
Baza zawiera dane tylko osób studiujących w OKNO czy mogą być w niej również dane innych studentów?
Cześć,
wydaje mi się, że w sekcji „Czy jestem na liście” wartoby jeszcze raz dodać, że sprawa dotyczy samego OKNO, a nie całego PW – co prawda ta informacja pojawia się na początku, ale jeżeli ktoś ją przeoczy to może już zacząć panikować, a z tego co rozumiem wyciekły „tylko” dane z OKNA.
Jak ktoś przeoczy na początku to czemu miałby nie przeoczyć pod koniec? Można pisać co drugie zdanie, ale można też szanować inteligencję pozostałych czytających…
Dość istotnym pytaniem jest czy wykradziono dane tylko i wyłącznie osób studiujących przez OKNO, czy też dane studentów, którzy na OKNO logowali się przy pomocy USOSa – niektórzy prowadzący używali teraz OKNA do zdalnego prowadzenia przedmiotów. Nie wiem czy logowanie przez USOS działa jak jakieś Oauth2 czy przekazuje multum danych do systemu bo tak?
Powinno być w nagłówku, to nie urąga inteligencji nikogo, łatwo jest przeoczyć tę informację
Jak ta sytuacja wygląda ze strony prawnej? Czy studentom zostaną wypłacone odszkodowania?
Jeśli są w stanie wskazać poniesione straty – na tym polega odszkodowanie.
K*rwa, na żadnej innej uczelni nie ma tylu wycieków danych, co tutaj. NA ŻADNEJ! Przypominam, że wg rankingów PODOBNO zajmuje 3. miejsce. Ale infrastrukturę to chyba mają z lat 80. Widocznie siłę uczelni stanowią tylko absolwenci, nikt więcej. http://ranking.perspektywy.pl/2019/ranking-uczelni-akademickich
Nie tylko. Jest wielu studentów, którym chciałoby się popoprawiać wszystko po kolei, ale ze strony władz uczelni są systematycznie torpedowani. „Jakoś działa, to nie ruszać” albo „dr J.S. wie lepiej” (pod warunkiem, że mowa o perlu, bo NOWE systemy na elce DALEJ w tym napisane, nawet nowe – pachnie jednoosobową decyzją tegoż doktora). A studenci mają i wiedzę, i pomysły, i wolę działania. Czy to nie studenci napisali słynnego Eresa w 94?
Nie klnij!
Absolwenci Polibudy Warszawskiej to specjaliści rozchwytywani na polskim i międzynarodowym rynku pracy. Absolwenci niektórych kierunków studiów wysoce pożądani w służbach, nie tylko polskich. Gdybym pracował na Łubiance, chciałbym mieć taką bazę…
Da, ja tozhe
Warto jeszcze dodać że podczas rejestracji na studia dziekanat wymagał skanu dowodu osobistego…
Nawet po wejściu RODO.
Biorąc pod uwagę że z dużym prawdopodobieństwem pozostałe wydziały maja identyczne lub zbliżone zabezpieczenia, problem rozleje się po wszystkich studentach PW…
Nie przypominam sobie takiego wymogu na eiti. Może to po prostu folklor Twojego wydziału?
Na OKNO pani z dziekanatu powiedziała że bez skanu dowodu mnie nie zapisze, choć wspomniałem że skanowanie dowodu jest nielegalne.
Miałem alternatywę dać zeskanować dowód i iść na studia lub nie…
No i popełniłeś ten błąd…
Jestem jednym ze studentów. Nie chcę nikogo martwić, ale te „hasła” to w większości były właśnie generowane kluczem pesel od tyłu, roku urodzenia i pierwsza litera imienia matki z dużej litery + znak specjalny odpowiadający ostatniej cyfrze PESEL. Swego czasu były niemożliwe do zmiany. Teraz może coś się zmieniło. Te konta od zawsze były dostępne niemalże publicznie.
Tak, ale to chyba nie jest źródło wycieku. Nie kojarzę, żeby gdziekolwiek po zalogowaniu były widoczne np. imiona rodziców.
Na Redzie przechowywane były (sąąąąą?) np. wnioski o przyjęcie na studia (do wglądu i edycji przez kandydata), w którym – zaraz po Jego Magnifififififi była spowiedź z peselu, ser i nr dowodu i numeru buta. I ocen z trzeciej klasy podstawówki. Więc imiona ojca i syna i ducha i ciotki też na pewno tam były, afair.
baza już lata po forach ciekawe kiedy na pastbinie
A jakich forach?
Skoro wyciekły dane tylko studentów z 'OKNO’, to taka informacja powinna być e tytule. Nie podanie jej w tytule powinno w normalnym państwie skutkować karą grzywny, bowiem wszyscy studenci PW klikną w tytuł i nabiją wyświetlenia, mimo że ta sytuacja ich zupełnie nie dotyczy.
Wrzuć na luz
Czy użytkownicy „OKNO” to nie są studenci PW?
Nie tylko studentów z OKNA, ale też kandydatów na studia inżynierskie z ostatnich dwóch lat, a tu przewinęło się też dużo osób.
Nie tylko z OKNA, wiele osób które robiło przedmioty na dziennych studiach musiało w ramach przedmiotów u niektórych prowadzących pracować przez OKNO
Czy te dane wystarczą do przeniesienia numeru na inną kartę SIM? Czy zalecacie zmianę numeru telefonu?
Hej, chcielibyście zrobić jakiś formularz, aby można było sprawdzić np. po podaniu imienia i nazwiska, czy jest się w bazie?
Predzej czy pozniej pewnie bedzie podpieta na haveibeenpwned.
Tak btw. niekoniecznie wyciekły dane tylko studentów którzy uczą się zdalnie na pw.
Ja jestem studentem stacjonarnym ale w czasach koronawirusa, musieliśmy założyć konto w serwisie 'OKNO’ na potrzeby pewnego przedmiotu.
Założyć, czy zalogować się przez USOS? To jest różnica.
Dane pochodzą prawdopodobnie z platformy administracyjnej RED, czyli przeznaczonej dla studentów i pracowników OKNO, a nie Moodla w domenie OKNA, na którym zakladałeś konto.
Adam, czy na PW wysylaliscie to do jakiejś administracji czy do CIPW?
Do rzecznika prasowego.
Ok, dzięki za informację
Spodziewam się, że wyciek mnie dotyka. RODO nakazuje poinformować o wycieku niezwłocznie. Ile z waszego doświadczenia trwa 'niezwłocznie’ dla polskich instytucji/uczelni? W czasie kiedy to piszę nie ma jeszcze żadnego stanowiska uczelni a na stronie systemu okna trwa 'przerwa technizna’ (pisownia oryginalna).
O CIPWach różne hasła krążą. Administratorzy na wydziałach z informatyką raczej mówili o nich z krzywym uśmiechem. Nie mniej, skoro jest „przerwa technizna”, znaczy że jakaś informacja do nich dotarła i coś sie dzieje w tym temacie.
Michale, dzięki za odpowiedź. Jak zauważyłem przerwę 'techniznę’ to wiedziałem, że już wiedzą. Od ciebie dowiedziałem się o 'krzywych uśmiechach’ co też jest informacją nie bez znaczenia.
Mleko się rozlało i co się stało to się nie odstanie. Obecnie najbardziej bulwersuje mnie brak jakiejkolwiek aktywności rzecznika PW. Administratorzy już swoją część popsuli – teraz obserwujemy najprawdopodobniej niekompetencję/opieszałość rzecznika. Mam podejrzenie graniczące z pewnością, że dzisiaj nie ma on na głowie ważniejszych spraw. O wycieku dowiedziałem się z Z3S a powinienem z PW. Widziałem już artykuły na stronach typu dobreprogramy czy radiokolor. Politechnika milczy, nie ma nawet informacji czym jest spowodowana przerwa 'technizna’. Wzorce z góry rozlewają się wszędzie i dezinformacja staje się bronią. Państwo z kartonu. Żenada. Wstyd.
Do tej pory pamiętam dźwięk facepalma po mailu o utworzeniu uczelnianej poczty studenckiej z publicznymi hasłami.
A co do źródła informacji, zdecydowanie nie dziwiłbym się – ktoś, kto chce ukraść dane, nie zostawi notatki „hehe, włamałem się” tylko będzie starał się nie zostawić śladów. Z dużym prawdopodobieństwem dowiedzieli się o tym dzisiaj, po publikacji Adama, a zanim poinformowali o czymkolwiek, to pewne działania wykonać musieli
Zgodnie z GDPR mają 72 godziny
Wyciek nastąpił najprawdopodobniej z platformy red.okno.pw.edu.pl
Czas na wymianę dowodu :/
Jest jakiś sens brać e-Dowód? Z jednej strony mam już Profil Zaufany, z drugiej koszt czytnika do karty to min. 300zł. No i jeszcze nie wiem jak to działa pod Linuxem.
Jest jakaś szacowana data włamania?
Tak, w treści artykułu.
Najbardziej przerażające jest to, że nazwy kolumn są po polsku. CREATE TABLE `uzytkownik`
Nie widzę tutaj nic niestosowanego.
Jak chciałbyś przetłumaczyć np. „PESEL”? UESfRotP? (Universal Electronic System for Registration of the Population)
a w jakim języku mają pisać? akurat przy takich wyciekach jak jakiś chińczyk czy inny rusek to wykradł to troche trudniej będzie miał z rozszyfrowaniem nazw kolumn. Po angielsku by było łatwo. W kodzie skoro to uczelnia i tak beda tylko polacy grzebać
Kolega pyta o link do bazy
Czy majac te dane mozna uzyskac dostep do konta bankowego? Zakkadam pesymistyczną opcje, że skan dowodu tez mogl wyciec
Spytałem kiedyś znajomego profesora informatyki na jakich prawach mają służbowe laptopy (wszędzie z nimi chodzi). Oczywiście mają na adminie. Zakończyłem rozmowę.
Czy informacja dotycząca pracowników naukowych także odnosi się tylko do „OKNA”?
Czy w tym przypadku jest w ogóle możliwość złożenia zawiadomienia na policji o kradzieży dowodu? Dowód mam fizycznie w ręku. Czy samo zastrzeżenie wystarczy, jeżeli ktoś weźmie kredyt na dane? I co z dostępem do konta? Duplikat SIM przy znajomości tylu danych a potem autoryzacja aplikacji na telefonie z podmienioną SIMką – to wygląda dość niepokojąco…
Wypowiedź rzecznika wskazuje na to że skupiają się na tym jak dane wyciekły. Tymczasem ważniejsze jest pytanie, dlaczego tak wrażliwe dane (w tym dla osób które z PW nie maja już nic od dawna wspólnego) w ogóle tam się znajdowały.
Chciałbym się upewnić, czy dane jakie zostały wykradzione dotyczyły kandydatów na studia z OKNA czy z całego PW z ostatnich 2 lat?
To wie tylko PW
Czy skoro posiadacie kopię bazy, to przekażecie listę adresów email do haveibeenpwned?
Fajnie by było sprawdzić – na info z PW to pewnie poczekamy z miesiąc.
Dołączam się, dobry pomysł!
wynika z tego że mogę być w tej grupie. co teraz Politechnika powiadomicie mnie na stary adres pod którym już dawno nie mieszkam? czy może na meila którego niekoniecznie już używam?
Godzina 18:20, 11 godzin po ukazaniu się artykułu, nadal brak kontaktu ze strony uczelni. Współczuję wszystkim, którzy nie dowiedzieli się o wycieku z jednego z artykułów w internecie i nie mieli czasu pozastrzegać dokumentów.
Godzina 8:28, ponad 25h po ukazaniu się tego artykułu. Uczelnia nadal w żaden sposób nie poinformowała mnie o wycieku.
I kto mi teraz zwróci za potncjalne okradzenie konta w banku na sim czy wzięcie kredytów na nr pesel/chwilówek, i ja mam w sądzie udowodnić że to w wyniku działania polibudy?! Ten kraj jest z kartonu.
Dodajcie te maile gdzieś by można było sprawdzić czy jestem na liście czy nie
„kod rabatowy ZhakowaliMiUczelnie”
pod tym artykułem to trochę perw xD
Ciekaw jestem, kiedy z Poczty Polskiej leaknie te 38 mln rekordów.
Przesłałem info o wycieku dawnym kolegom z grupy i zastrzegłem dowód osobisty.
Chyba to sprawa dla sądu, może jakiś pozew zbiorowy?
Powinniśmy się zebrać i zrobić pozew zbiorowy o odszkodowanie, to kilka tysięcy osób i ogromne potencjalne szkody po ujawnieniu takich danych.
Też tak uważam. Od czego należy zacząć takie przedsięwzięcie? Ktoś tu może mógłby podpowiedzieć?
Trzeba założyć konto np. na fb do kontaktu i znaleźć prawnika.
Hej. Chciałem tylko uspokoić, że w związku z wyciekiem nic się nikomu nie stanie. Także wyluzujcie.
Mam oczywiście na myśli władze i pracowników PW.
https://pw.edu.pl/Aktualnosci/Komunikat-o-mozliwosci-naruszenia-ochrony-danych-osobowych
Pierwsze słyszę o tym bezpiecznypesel, niby ma blokować firmy pożyczkowe, ale to jest inicjatywa prywatnej instytucji a nie jakaś powiązana z państwem.
Taką stronę to i ja mogę postawić i zbierać pesele oraz skany od ludzi
Co za amatorka. Zaden serwer bazy danych ani serwer www nigdy nie powinien byc dostepny bezposrednio z internetu.
„… ani serwer www nigdy nie powinien być dostępny z bezposrednio z internetu.” To po co komu serwer WWW w takim razie?
Żeby było bezpiecznie
???
Przecież serwer WWW z definicji służy do udostępniania informacji m.in. w Internecie. Bezpieczeństwo serwera określi firewall, aplikacje wspomagające (fail2ban), moduły nginx/Apache do security, etc. a nie to, że serwer będzie „w Internecie”.
Jak to po co? Do serwowania tresci. Ale to z automatu nie oznacza wystawienia serwera na swiat. Doczytaj chlopcze jak to sie robi.
Może „chłopcze” mnie oświecisz i powiesz, jak Ty to robisz?
Zamawiasz subskrypcję na maila i dostajesz batche z ulubionych stron – tak jak to robi Ryszard Stallman :D
Co ciekawe uczelnia nie ma obowiązku przechowywać większości z tych danych, a w FAQ możemy przeczytać:
„4. Dlaczego Ośrodek Kształcenia na Odległość Politechniki Warszawskiej przechowuje takie dane jak imiona rodziców, nazwisko panieńskie matki oraz numery dowodów?
O tym, jakie dane gromadzi się w czasie przebiegu studiów, stanowi § 14 ust. 2 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz. U. z 2018 r. poz. 1861).”
Natomiast w rozporządzeniu na które PW się powołuje nie jest napisane nic na temat tych danych
„2. Do albumu studentów wpisuje się następujące dane dotyczące studenta:
1) numer albumu;
2) datę rozpoczęcia studiów;
3) imiona i nazwisko;
4) datę i miejsce urodzenia;
5) numer PESEL, a w przypadku jego braku – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało;
6) informacje o dokumencie stanowiącym podstawę ubiegania się o przyjęcie na studia:
a) nazwę szkoły lub okręgowej komisji egzaminacyjnej, numer oraz datę i miejsce wystawienia dokumentu, o którym mowa w art. 69 ust. 2 ustawy – w przypadku studiów pierwszego stopnia lub jednolitych studiów magisterskich,
b) nazwę uczelni, numer oraz datę i miejsce wystawienia dyplomu ukończenia studiów – w przypadku studiów drugiego stopnia;
7) nazwę kierunku, poziomu i profilu studiów;
8) rok studiów, na który został przyjęty;
9) datę i przyczynę opuszczenia uczelni.”
Nawet w § 15 mówiącym o bardziej szczegółowych danych przechowywanych w teczce akt osobowych studenta nie ma nic na temat wspomnianych danych
http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001861/O/D20181861.pdf
https://pw.edu.pl/Aktualnosci/OKNO-i-naruszenie-RODO-najczesciej-zadawane-pytania
PW przyslalo mi emaila:
jestem w ciezkim szoku.
ZAWIADOMIENIE
Informujemy, że w dniu 3 maja 2020 w wyniku nieuprawnionego uzyskania dostępu do informacji poprzez złamanie zabezpieczeń nastąpiło nieuprawnione pobranie Pana/Pani danych osobowych z Platformy administracyjnej Ośrodka Kształcenia na Odległość PW (OKNO), w związku z czym może nastąpić nieuprawnione wykorzystanie tych danych.
W Pan/Pani przypadku ujawnieniu uległy następujące dane: imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.
O naruszeniu ochrony danych osobowych Politechnika Warszawska powiadomi niezwłocznie Urząd Ochrony Danych Osobowych (UODO) oraz Policję.
W związku z powyższym, pod adresem: [email protected] można uzyskać więcej informacji.
W wyniku przedmiotowego naruszenia ochrony danych osobowych, istnieje prawdopodobieństwo wystąpienia dla Pani/Pana negatywnych skutków w postaci:
• uzyskania przez osoby trzecie na Pani/Pana szkodę kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np.: przez internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
• uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej Pani/Panu przysługujących, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
• korzystania z praw obywatelskich np. do głosowania nad środkami budżetu obywatelskiego;
• wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla Pani/Pana negatywne konsekwencje, w postaci problemów związanych z próbą przypisania Pani/Panu odpowiedzialności za dokonanie takiego oszustwa;
• zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie dla Pani/Pana negatywnych konsekwencji w postaci zadłużenia;
• zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
• przetwarzania danych osobowych w celach marketingowych, bez uprzedniego uzyskania Pani/Pana zgody.
W związku z powyższym w celu zminimalizowania ewentualnych negatywnych skutków naruszenia, proponuję:
1. zastrzeżenie danych w banku;
2. zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK (gwarantujące otrzymywanie alertów w przypadku prób uzyskania kredytu na zastrzeżone dane osobowe) oraz w rejestrze dłużników BIG InfoMonitor; usługi w zakresie zapobiegania próbom wyłudzenia kredytu lub pożyczki świadczy ponadto Platforma ChronPESEL.pl. Użytkownik konta w serwisie ChronPESEL.pl jest informowany natychmiast sms-em, gdy ktoś próbuje zaciągnąć kredyt na jego konto, a jeśli by do wyłudzenia doszło, otrzymuje wsparcie prawne;
3. zastrzeżenie numeru PESEL poprzez aktywowanie usługi Bezpieczny Pesel przez CRIF Poland,
4. zgłoszenie faktu naruszenia danych właściwym organom, w celu zapobieżenia tzw. „kradzieży tożsamości”;
5. ewentualną wymianę dowodu osobistego;
6. zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu.
Aby zapobiec potencjalnym wykorzystaniem wykradzionych skrótów haseł (jeśli osoby dotknięte wyciekiem danych używały tego samego hasła do logowania w Centralnym Systemie Uwierzytelniania PW):
1. Jeśli użytkownik logował się po 1 marca br., zalecamy samodzielną zmianę hasła w Centralnym Systemie.
2. Jeśli użytkownik nie logował się po 1 marca br., hasła zostały wygenerowane losowo. Po ich odzyskanie prosimy o zwrócenie się do właściwych dziekanatów.”
Wyjaśniam, iż po zalogowaniu się w BIK (Biurze Informacji Kredytowej) instytucje finansowe, które przystąpiły do systemu, nie udzielą kredytu na zastrzeżone dane. W pakiecie użytkownik otrzymuje powiadomienia (alerty) o możliwych próbach wyłudzenia kredytu na zastrzeżone dane osobowe, a jeżeli w Rejestrze Dłużników BIG InfoMonitor pojawia się zapytanie, to system powiadamia o tym, że na zastrzeżone dane osobowe ktoś chce np. podpisać umowę na abonament komórkowy. Podobnie działa platforma ChronPESEL.pl. W systemie BIK można również dokonać zastrzeżenia dowodu osobistego. Można również skorzystać z usługi bezpieczny PESEL oferowanej CRIF Poland, która zabezpiecza przed wzięciem pożyczek (w tym również chwilówek) na podstawie zastrzeżonych danych. Zastrzeżenie w tej usłudze jest dostępne dla firm pożyczkowych, które przystąpiły do tego programu.
Ewentualnie można rozważyć możliwość wymianę dowodu osobistego. Sposobów jest kilka – można złożyć papierowy wniosek w urzędzie gminy lub elektroniczny formularz na stronie internetowej. Czas oczekiwania na wydanie nowego dowodu to 30 dni. Wydanie i wymiana dokumentu jest bezpłatna. Od 4 marca 2019 roku wydawany jest jedynie e-dowód, czyli dowód z warstwą elektroniczną.
Jednocześnie zapewniam, iż Administrator Danych Osobowych podejmie wszelkie możliwe działania w celu wzmocnienia ochrony danych osobowych, tak, aby podobna sytuacja nie miała miejsca w przyszłości.
Prof. dr hab. inż. Stanisław Wincenciak
Prorektor ds. rozwoju
Przyszedł email od PW. Generalnie przyznają się, że poleciał taki komplet danych:
imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.
W skrócie – super…
Mail od uczelni:
„Informujemy, że w dniu 3 maja 2020 w wyniku nieuprawnionego uzyskania dostępu do informacji poprzez złamanie zabezpieczeń nastąpiło nieuprawnione pobranie Pana/Pani danych osobowych z Platformy administracyjnej Ośrodka Kształcenia na Odległość PW (OKNO), w związku z czym może nastąpić nieuprawnione wykorzystanie tych danych.
W Pan/Pani przypadku ujawnieniu uległy następujące dane: imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.
O naruszeniu ochrony danych osobowych Politechnika Warszawska powiadomi niezwłocznie Urząd Ochrony Danych Osobowych (UODO) oraz Policję.
W związku z powyższym, pod adresem: [email protected] można uzyskać więcej informacji.
W wyniku przedmiotowego naruszenia ochrony danych osobowych, istnieje prawdopodobieństwo wystąpienia dla Pani/Pana negatywnych skutków w postaci:
uzyskania przez osoby trzecie na Pani/Pana szkodę kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np.: przez internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej Pani/Panu przysługujących, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
korzystania z praw obywatelskich np. do głosowania nad środkami budżetu obywatelskiego;
wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla Pani/Pana negatywne konsekwencje, w postaci problemów związanych z próbą przypisania Pani/Panu odpowiedzialności za dokonanie takiego oszustwa;
zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie dla Pani/Pana negatywnych konsekwencji w postaci zadłużenia;
zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
przetwarzania danych osobowych w celach marketingowych, bez uprzedniego uzyskania Pani/Pana zgody.
W związku z powyższym w celu zminimalizowania ewentualnych negatywnych skutków naruszenia, proponuję:
zastrzeżenie danych w banku;
zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK (gwarantujące otrzymywanie alertów w przypadku prób uzyskania kredytu na zastrzeżone dane osobowe) oraz w rejestrze dłużników BIG InfoMonitor; usługi w zakresie zapobiegania próbom wyłudzenia kredytu lub pożyczki świadczy ponadto Platforma ChronPESEL.pl. Użytkownik konta w serwisie ChronPESEL.pl jest informowany natychmiast sms-em, gdy ktoś próbuje zaciągnąć kredyt na jego konto, a jeśli by do wyłudzenia doszło, otrzymuje wsparcie prawne;
zastrzeżenie numeru PESEL poprzez aktywowanie usługi Bezpieczny Pesel przez CRIF Poland,
zgłoszenie faktu naruszenia danych właściwym organom, w celu zapobieżenia tzw. „kradzieży tożsamości”;
ewentualną wymianę dowodu osobistego;
zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu.
Aby zapobiec potencjalnym wykorzystaniem wykradzionych skrótów haseł (jeśli osoby dotknięte wyciekiem danych używały tego samego hasła do logowania w Centralnym Systemie Uwierzytelniania PW):
Jeśli użytkownik logował się po 1 marca br., zalecamy samodzielną zmianę hasła w Centralnym Systemie.
Jeśli użytkownik nie logował się po 1 marca br., hasła zostały wygenerowane losowo. Po ich odzyskanie prosimy o zwrócenie się do właściwych dziekanatów.”
Wyjaśniam, iż po zalogowaniu się w BIK (Biurze Informacji Kredytowej) instytucje finansowe, które przystąpiły do systemu, nie udzielą kredytu na zastrzeżone dane. W pakiecie użytkownik otrzymuje powiadomienia (alerty) o możliwych próbach wyłudzenia kredytu na zastrzeżone dane osobowe, a jeżeli w Rejestrze Dłużników BIG InfoMonitor pojawia się zapytanie, to system powiadamia o tym, że na zastrzeżone dane osobowe ktoś chce np. podpisać umowę na abonament komórkowy. Podobnie działa platforma ChronPESEL.pl. W systemie BIK można również dokonać zastrzeżenia dowodu osobistego. Można również skorzystać z usługi bezpieczny PESEL oferowanej CRIF Poland, która zabezpiecza przed wzięciem pożyczek (w tym również chwilówek) na podstawie zastrzeżonych danych. Zastrzeżenie w tej usłudze jest dostępne dla firm pożyczkowych, które przystąpiły do tego programu.
Ewentualnie można rozważyć możliwość wymianę dowodu osobistego. Sposobów jest kilka – można złożyć papierowy wniosek w urzędzie gminy lub elektroniczny formularz na stronie internetowej. Czas oczekiwania na wydanie nowego dowodu to 30 dni. Wydanie i wymiana dokumentu jest bezpłatna. Od 4 marca 2019 roku wydawany jest jedynie e-dowód, czyli dowód z warstwą elektroniczną.
Jednocześnie zapewniam, iż Administrator Danych Osobowych podejmie wszelkie możliwe działania w celu wzmocnienia ochrony danych osobowych, tak, aby podobna sytuacja nie miała miejsca w przyszłości.
Prof. dr hab. inż. Stanisław Wincenciak
Prorektor ds. rozwoju”
Czy dostał(eś/aś) maila na skrzynkę studencką, czy prywatną? Co z byłymi studentami?
A co jeśli od czasu kiedy studiowałem na politechnice mój stary dowód stracił ważność i już mam nowy? Czy dalej muszę go zastrzegać? Echh, na taj uczelni zawsze był bałagan, nikt za nic nie odpowiadał i nigdy niczego nie można się było dowiedzieć (z małymi wyjątkami).
Jest gdzies jakas grupa dyskusyjna dla poszkodowanych?
zróbmy gdzieś możę jakiś discord czy coś, trzeba jakiś pozew zrobić, złożyć się na prawnika ocenić co da się zrobić, niech płacą, nawet kilkaset osób jakby się zebrało to już coś
https://www.facebook.com/groups/711892536216223/ grupa poszkodowanych na FB
Tutaj jest link do grupy na Facebooku dla poszkodowanych
https://www.facebook.com/groups/711892536216223
Są już dwie grupy na facebooku
link please
https://www.facebook.com/groups/711892536216223
Na innym portalu branżowym napisali, że to nie był niestety pierwszy wyciek danych z tej bazy :(
A czy uczelnia pokryje koszty jakie poszkodowane osoby będą zmuszone ponieść w związku z tym zdarzeniem…??
Ma ktoś ochotę na pozew zbiorowy?
Czy ktoś wie co zrobić, jeżeli w zeszłym roku byłem kandydatem na studia inżynierskie, a nie mam możliwości weryfikacji jaki adres e-mail podałem przy rekrutacji ? Czy Politechnika udzieli mi informacji o ujawnieniu danych z innego maila ?
bylem na policji.
policjant mowi ze to nie przestepstwo i nawet nie przyjmie ode mnie zgloszenia. mowi, ze dopiero jak ktos uzyje moich danych to to bedzie kradziez tozsamosci i wtedy zebym przyszedl xd
pozew zbiorowy.. czytalem, ze mozesz sie starac o odszkodowanie od PW w ramach RODO jesli lacznie zostaly spelnione takie warunki, ze:
– wyciekly dane
– ktos ich uzyl do popelnienia przestwa i to jest udowodnione, jest sprawca itd
– udowodniono PW ze zle wdrozyla PW
To napisz na pismie zgloszenie do prokuratury.
Byłem na policji. Powiedzieli, że uczelnia miała obowiązek zgłosić od razu wyciek danych, bo to przestępstwo.
A szkody w wyniku wycieku wystąpiły, choćby moralne i koszty nowych dokumentów i usług. Będzie łatwo wygrać w sądzie.
Politechnika twierdzi, że nazwiska rodowego matki w danych nie było.
A przy okazji: hasełka były pojechane MD5. Tak pani Dyrektor OKNO stwierdziła.
Nazwiska rodowego. Nie nazwiska rodowego matki.
Politechnika Warszawska uruchomiła serwis, w którym można sprawdzić czy jest się ofiarą wycieku. Podaje się imię oraz wybrane znaki z numeru dowodu osobistego (ważne: musi to być TEN dowód, który został podany PW, a nie aktualny – dowód ma ważność 10 lat).
https://www.ci.pw.edu.pl/incydent_okno/
wklejam Archive na dowód, że było coś takiego, jakby zniknęło:
https://web.archive.org/web/20200615000000/https://www.ci.pw.edu.pl/incydent_okno/