Poważny wyciek wielu danych osobowych studentów Politechniki Warszawskiej

dodał 4 maja 2020 o 07:03 w kategorii Info, Włamania  z tagami:
Poważny wyciek wielu danych osobowych studentów Politechniki Warszawskiej

Dzisiejszej nocy otrzymaliśmy informacje o wycieku danych osobowych części studentów PW. Chociaż grupa dotknięta wyciekiem to „zaledwie” ponad 5000 osób, to zakres wykradzionych osobowych danych jeży włosy na głowie.

Kilka dni temu opisywaliśmy atak włamywaczy na SWPS i CDV, dzisiaj czas na uczelnię państwową. Informator, pragnący zachować anonimowość, podesłał nam kopię bazy danych serwisu okno.pw.edu.pl. To strona Ośrodka Kształcenia na Odległość Politechniki Warszawskiej, a sama baza zawiera dane osób studiujących w tym właśnie ośrodku. Niestety dane sięgają nawet 12 lat wstecz i są boleśnie szczegółowe.

Zawartość bazy danych

Sama baza to prawie 3 GB danych, zawierająca całą historię edukacji kilku tysięcy osób wraz z programami nauczania, ocenami, opiniami i historią płatności. Jest nawet pełna treść kilkudziesięciu tysięcy e-maili wysłanych do studentów czy logowania do aplikacji. Najbardziej niepokojące są jednak dane osobowe przechowywane w bazie.

Otrzymane przez nas informacje wskazują, że dane osobowe znajdują się głównie w trzech zbiorach. Pierwszy zawiera prawdopodobnie dane nieco ponad tysiąca kandydatów na studia inżynierskie z ostatnich dwóch lat, drugi z kolei to dane ponad pięciu tysięcy studentów z lat 2008-2020, trzeci zaś to dane prawie 200 pracowników naukowych. Zbiory zawierają podobny zestaw informacji, a mianowicie:

  • imię i nazwisko,
  • login,
  • hasz hasła,
  • adres e-mail,
  • nr telefonu,
  • data i miejsce urodzenia,
  • narodowość,
  • imiona rodziców,
  • nazwisko panieńskie matki (AKTUALIZACJA: prawdopodobnie tylko dla kandydatów na studia inżynierskie)
  • PESEL,
  • NIP,
  • rodzaj i nr dokumentu tożsamości,
  • adres zamieszkania, zameldowania i korespondencyjny,
  • nazwa ukończonej szkoły średniej,
  • adresy IP logowań
  • oraz wiele dodatkowych, mniej istotnych danych.

Co ciekawe, liczni użytkownicy o dawniejszych datach rejestracji w systemie mają w polu „login” oraz w polu „adres email” dodany ciąg „arch_” (np. „arch_imie.nazwisko@wp.pl), co wskazuje na ciekawą metodę „archiwizacji” starych informacji. Najwyraźniej ten dopisek ma uniemożliwić logowanie w systemie po „archiwizacji” konta.

Co do haszy haseł – ich budowa wskazuje na użycie algorytmu MD5, lecz prawdopodobnie przy tworzeniu skrótu posłużono się solą lub pieprzem, które według naszej wiedzy nie zostały ujawnione. Nie oznacza to, że haseł nie da się złamać – ale oznacza, że nie jest to trywialne dla każdego posiadacza bazy. Aktualizacja – hasze niestety są w czystym MD5 i można je złamać bez większego wysiłku – wygląda na to, że wymagania co do złożoności hasła były relatywnie niskie.

Z otrzymanych przez nas informacji wynika, że do wykradzenia bazy danych mogło dojść w niedzielę 3 maja 2020 około godziny 17 – ostatnie zapisy w bazie pochodzą z tego czasu. Nie wiemy, jakie intencje miał włamywacz – może wykradzione dane zarówno skasować, jak i je sprzedać czy po prostu opublikować online.

O incydencie poinformowaliśmy PW, lecz do momentu publikacji artykułu nie otrzymaliśmy odpowiedzi na wysłane pytania. Oczywiście artykuł zaktualizujemy, gdy tylko dotrą.

Co mogą zrobić ofiary wycieku

Zacznijmy od pytania „Czy jestem na liście”. Odpowiedź brzmi:

  • wygląda na to, że są wszyscy studenci OKNO (i tylko OKNO) z ostatnich 12 lat i kandydaci na studia inżynierskie z ostatnich 2 plus pracownicy naukowi,
  • PW powinno wkrótce się odezwać z informacją do osób poszkodowanych.

Podstawowymi krokami jest identyfikacja kont, gdzie mogliście mieć to samo hasło, co na PW i pilna zmiana na hasła unikatowe – i zapisanie ich w menedżerze haseł (a przy okazji włączenie dwuskładnikowego uwierzytelnienia tam, gdzie to tylko możliwe).

Z reguły nie zalecamy tego automatycznie ofiarom podobnych incydentów, ale w tym wypadku warto rozważyć unieważnienie i wymianę dokumentu tożsamości na nowy – skala danych, które wyciekły jest przytłaczająca. Obok numeru dowodu osobistego przestępcy mają także PESEL, wszystkie adresy, imiona rodziców i nazwisko panieńskie matki dla sporej części ofiar – a z takimi danymi można wyrządzić już więcej szkody.

Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 10%.

Aktualizacja 14:00

Otrzymaliśmy odpowiedź rzecznika prasowego PW.

Jesteśmy w trakcie ustalania szczegółów zdarzenia, w tym jego skali. Staramy się jak najszybciej dotrzeć do jego przyczyn, aby ustalić źródło potencjalnego ujawnienia danych osobowych i zabezpieczyć je przed nieuprawnionym wykorzystaniem. Jeśli tylko zdarzenie związane z naruszeniem ochrony danych osobowych zostanie potwierdzone, niezwłocznie zostaną podjęte działania w celu zniwelowania skutków naruszenia, a sprawa zostanie natychmiast zgłoszona odpowiednim organom. Już teraz zajmuje się nią Inspektor Danych Osobowych we współpracy ze służbami Politechniki Warszawskiej.