Pracownik ujawnił poufne dane studentów, uczelnia nie widzi problemu
Każdy student może uzyskać dostęp do darmowej wersji pakietu Microsoft Office 365. Wystarczy zgłosić się do odpowiedniego pracownika uczelni i po kłopocie. Prawda? Nie zawsze, bo w przypadku studentów UMCS kłopoty dopiero wtedy się zaczęły.
Podstawowe dane 63 osób studiujących na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie zostały przekazane pracownikowi w celu założenia kont pozwalających korzystać z Office’a bez opłat. Każdemu studentowi administrator stworzył oddzielne konto, wysyłając mailem login i hasło. Byłoby dobrze, gdyby nie robił nic ponadto, ale on – jak informują studenci – sporządził listę zawierającą ich imiona, nazwiska, adresy e-mail, loginy i hasła, po czym umieścił ją na Dysku Google.
„Z tej listy można było dodatkowo wywnioskować miejsce zamieszkania studentów, uczelnię, na której studiują, kierunek oraz nawet narodowość, bo niektóre prywatne maile były założone na zagranicznych portalach (końcówka adresu e-mail np. .ru)” – tłumaczą studenci, dodając, że plik nie został w żaden sposób zabezpieczony i każdy, kto miał do niego link, mógł dokument wyświetlić oraz skopiować.
Rektorat UMCS, fot. Pawelrm, CC BY 3.0
Jakby tego było mało, link do Dysku Google wraz z poleceniem udostępnienia został przesłany osobie, która pośredniczyła w kontaktach między pracownikiem uczelni a resztą studentów. W efekcie lista trafiła na Facebooka, co prawda, do zamkniętej grupy, ale „jak to bywa w praktyce, nie oznacza to, że mają do niej dostęp tylko uprawnione osoby. Na takich grupach znajdują się boty, znajomi ludzi do niej należących, a czasami w 100% obcy ludzie, którzy zostali do niej zaakceptowani przez niedopatrzenie” – czytamy w mailu, który dotarł na adres redakcji.
„Oczywiście student powinien wiedzieć, że taka lista nie powinna być nigdzie udostępniana, ale przede wszystkim taka lista nigdy nie powinna wyjść od administratora” – uważają studenci, którzy bezzwłocznie zgłosili problem pracownikowi UMCS. Konta zostały usunięte, ale zanim do tego doszło, ktoś zdążył już niektóre przejąć. „Wielu studentów nie mogło się do nich zalogować i otrzymywali informację, że wpisują niepoprawne hasło” – opowiadają poszkodowani. Niestety lista z ich danymi była dostępna na Dysku Google przez kolejne 24 godziny.
Post z danymi studentów na Facebooku
Dalej robi się jeszcze ciekawiej. „Gdy studenci poinformowali administratora, że zamierzają zgłosić ten wyciek do odpowiednich organizacji, rektoratu i zamierzają postępować zgodnie z prawem regulującym takie wycieki, usłyszeli groźby, że to oni zostaną zgłoszeni do rektoratu i dyscyplinarnie usunięci ze studiów za «godzenie w dobre imię uczelni». Od tego czasu odbyło się już kilka rozmów z administratorem w obecności wielu świadków. (…) Oczywiście można się domyślić, że w trakcie rozmowy ze studentami administrator starał się ich zastraszyć i obarczyć winą. W trakcie rozmowy w obecności dziekana wszystkim zarzutom zaprzeczał i utrzymywał, że nic się nie stało” – piszą studenci.
Okiem prawnika
O przyjrzenie się zaistniałej sytuacji poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa danych, autorkę serwisów Cyberlaw.pl oraz Pomocnik RODO. Jakie przepisy mógł naruszyć pracownik UMCS, tworząc i udostępniając listę osób, którym założył konta?
„Uczelnia powinna mieć opracowany System Zarządzania Bezpieczeństwem Informacji, na który składają się m.in. Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym. Zgodnie z tymi procedurami oraz przepisami prawa dane powinny być przetwarzane wyłącznie u dostawców (procesorów/ przetwarzających), z którymi podpisana jest umowa powierzenia. Organ nadzorczy w toku kontroli powinien ustalić, czy doszło do naruszenia przepisów prawa, w tym także przepisów karnych. Należałoby tutaj oceniać sprawę nie tylko pod kątem art. 31, ale także art. 51 i 52 ustawy o ochronie danych osobowych” – wyjaśnia prawniczka. Warto te artykuły zacytować:
Art. 51.
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
„Pamiętajmy, że niezależnie od tego szkodę ponieśli studenci i można tutaj mówić o naruszeniu przepisów prawa cywilnego, jak np. art. 23 KC. Można rozważać pozew zbiorowy przeciwko Uczelni. Uczelnia jest i tak w lepszej sytuacji w obecnym stanie prawnym, bo po 25 maja 2018 r. mówilibyśmy o nałożeniu kary finansowej na Uczelnię przez organ nadzorczy i to proporcjonalnej do stopnia naruszenia. Mogłaby to być wysoka kara” – informuje Beata Marek.
Co z odpowiedzialnością studenta, który przyczynił się do ujawnienia poufnych danych, wykonując polecenie pracownika UMCS? „W toku czynności okaże się, jak to faktycznie wyglądało. Pamiętajmy, że fakt, że ktoś spełnia czyjeś polecenie i narusza prawo, nie zwalnia go automatycznie z odpowiedzialności. To może wpłynąć jedynie na uznanie, że ktoś działał z winy nieumyślnej. W tym wypadku np. lekkomyślnie umieścił te dane” – tłumaczy specjalistka od bezpieczeństwa informacji.
Pozostaje jeszcze kwestia gróźb, które miały paść pod adresem studentów. Jak wyjaśnia Beata Marek: „Studenci powinni dysponować materiałem dowodowym, takim jak zeznania świadków czy wręcz korespondencja, np. e-mail. Należy o wszystkim poinformować prokuraturę i odpowiednio policję prowadzącą czynności w jej imieniu. O tym, jaka będzie kwalifikacja i czy w ogóle będzie, zdecyduje prokuratura. Pamiętajmy, że aby doszło do naruszenia art. 191 §1 KK, to osoba musiałaby w stosunku do drugiej zastosować groźbę bezprawną w celu zmuszenia jej do zaniechania, w tym wypadku poinformowania o naruszeniu”.
Doraźne postępowanie sprawdzające na UMCS
Studenci poinformowali o wycieku władze uczelni (rektorat i dział prawny) oraz GIODO. Skierowaliśmy stosowne zapytania do obu instytucji. Jako pierwsza odpowiedziała nam Katarzyna Kozielewicz z Biura Prasowego UMCS, publikujemy otrzymany komentarz w całości:
Na podstawie czynności podjętych w ramach postępowania sprawdzającego doraźnego prowadzonego przez Administratora bezpieczeństwa informacji UMCS na mocy obowiązujących przepisów prawa oraz w oparciu o już zgromadzone informacje i dowody należy stwierdzić:
- nie doszło do udostępnienia danych osobowych studentów UMCS na ogólnodostępnym publicznym dysku Google czy też koncie Facebook;
- rzeczywiście miało miejsce umieszczenie niektórych danych studentów (imię, nazwisko, adres e-mail) jednego z roczników prowadzonego przez UMCS kierunku, przy czym miało to miejsce na utworzonym i wydzielonym dla tego rocznika dysku i koncie Facebook, które to zasoby dostępne są wyłącznie dla osób uprawnionych studiujących na danym roku, bez możliwości dostępu do dysku czy konta przez osoby nieuprawnione. Co więcej to same osoby zainteresowane, których dane dotyczyły, umieściły tam swoje dane, w pełni dobrowolnie, odpowiadając na post starosty danego roku dotyczący zainteresowania uzyskaniem dostępu do darmowego oprogramowania udostępnianego studentom w ramach usług Microsoft [email protected]/Office 365. Dane samodzielnie przekazane za pośrednictwem konta staroście przez studentów zostały zebrane w jeden plik, który został przekazany przez starostę pracownikowi UMCS i posłużył do założenia studentom właściwych kont dostępowych. Po założeniu kont, plik z danymi pracownik uczelni przekazał zwrotnie do starosty roku i to starosta umieścił ten plik na wspomnianym powyżej dysku i koncie Facebook (zaznaczamy – niedostępnych publicznie, a wydzielonych dla danej grupy osób, których sprawa dotyczy), na którym wcześniej studenci te same dane osobowe sami umieszczali.
Biorąc pod uwagę powyższe, w szczególności fakt, iż zasoby, na których nastąpiło umieszczenie danych nie są publicznie dostępne, a zwłaszcza fakt samodzielnej publikacji tych danych przez osoby, których one dotyczyły, nie można stwierdzić naruszenia polegającego na upublicznieniu danych przez pracownika UMCS. Pracownik natychmiast po uzyskaniu informacji o udostępnieniu przez starostę roku danych na wyodrębnionym dysku zablokował wszystkie uprawnienia.
Studenci zwracają uwagę, że na Dysku Google listę umieścił nie starosta, tylko pracownik uczelni. Jak piszą: „Grupa na Facebooku posłużyła staroście do zebrania danych studentów (imiona, nazwiska, maile), ale lista z loginami, hasłami i dodatkowymi informacjami to już wyciek po stronie UMCS i to właśnie te dodatkowe informacje pozwalają na szybką i dokładną identyfikację tożsamości studentów”. Co ciekawe, wspomniana grupa została z Facebooka usunięta, prawdopodobnie na wniosek osoby trzeciej.
Fragment pliku udostępnionego na Dysku Google
Martwić też może fakt, że zgłoszenie incydentu do GIODO nie dotarło, o czym poinformowała nas rzeczniczka Agnieszka Świątek-Druś. „Sprawa ta będzie w najbliższym czasie przedmiotem analizy GIODO i w zależności od rozwoju sytuacji (np. wpłynięcia oficjalnej skargi) GIODO podejmie decyzję co do swoich dalszych działań” – napisała przedstawicielka Generalnego Inspektora Ochrony Danych Osobowych. Studenci zapowiadają ponowne wysłanie zgłoszenia. Będziemy trzymać rękę na pulsie i poinformujemy, jeśli sytuacja się zmieni.
Podobne wpisy
- Jak złodzieje wykradali pieniądze graczy z serwisu bukmacherskiego efortuna.pl
- Podstawy Bezpieczeństwa: Hasła część 5, czyli odpowiedzi na wasze pytania
- Podstawy Bezpieczeństwa: Hasła część 4, czyli kody PIN, smartfony i biometria
- Podstawy Bezpieczeństwa: Hasła część 3, czyli czym wzmocnić hasła
- Podstawy Bezpieczeństwa: Hasła część 2, czyli jak przechowywać hasła
> Oczywiście można się domyślić, że w trakcie rozmowy ze studentami administrator starał się ich zastraszyć i obarczyć winą.
Normalne w tych kołchozach zwanych na wyrost uczelniami. Pracownicy uważają się za panów życia i śmierci, gnojąc i depcząc po studentach jak tylko się da. Żaden z tych doktorków, czy profesorków od siedmiu boleści nigdy nie przyzna się do winy, a co dopiero jakiś szeregowy „administrator”. Tak było, jest i będzie, dopóki uczelnie okupowane są przez homo sovieticus.
Byłoby fajnie gdyby nie to ostatnie słowo, co ma socjalizm do tego kucu?
Poczytaj sobie o typach ewolucji r/K i jak to się ma do poglądów politycznych i nie tylko, to zrozumiesz, że kolega wyżej ma rację. Typ r to ten o którym tutaj mówimy. Czują się silni w grupie, jeśli ktokolwiek ośmieli się wychylić dostaje w łeb. Sam na uczelni zobaczyłem jak to działa i wiem, że tak jest.
Co maja do tego kuce, lewaku? ( ͡° ͜ʖ ͡°)
Możemy się prześcigać w tym, kto jest kucem, kto lewakiem, ale to bez znaczenia, bo nie chodzi tu o poglądy komentujących newsa, a o mentalność admina z jakiegoś randomowego uniwerku gdzieś na końcu Polski. W zasadzie to pewnie jedyne miejsce, gdzie ten „pan” jest samcem alfa ¯\_(ツ)_/¯
A Ty niby skad, ze miasto L. nazywasz koncem Polski ? Troche szacunku dla rdzennej ludnosci.
Po tym co piszesz łatwo wywnioskować żeś młody i głupi.
Zapewne wyborca „dobrej zmiany”.
1. „Normalne w tych kołchozach zwanych na wyrost uczelniami. Pracownicy uważają się za panów życia i śmierci, gnojąc i depcząc po studentach jak tylko się da.”
Na ilu uczelniach studiowałeś? Ile razy cię zgnojono i zdeptano?
2. „Żaden z tych doktorków, czy profesorków od siedmiu boleści nigdy nie przyzna się do winy.”
Opisz nam kilku takich „lewaków” – ze szczegółami.
3. „dopóki uczelnie okupowane są przez homo sovieticus” – patrz punkt 1.
Jak na mój gust to wyje.ali cię z jakiejś uczelni, bo byłeś zbyt głupi żeby tam studiować. Stąd ta frustracja, nienawiść i chęć szukania winnych.
>„Z tej listy można było dodatkowo wywnioskować miejsce zamieszkania studentów, uczelnię, na której studiują, kierunek oraz nawet narodowość, bo niektóre prywatne maile były założone na zagranicznych portalach (końcówka adresu e-mail np. .ru)”
Tak, bo według polaczków jak mam maila na jandeksie to albo jestem ukraińcem albo rosyjskim trollem…Ech…
A czyż nie ?
Jeśli masz na liście imię i nazwisko, które dosyć jednoznacznie brzmi nie-polsko i do tego masz maila na domenie .ru … To chyba nie trzeba wiele wyjaśniać. :D
Rację mają wszyscy, czyli każda z opisywanych przez Was możliwości jest (jednakowo) prawdopodobna.
Przykład a: rosyjsko brzmiące imię i nazwisko plus adres email na rosyjskiej poczcie, może faktycznie oznaczać Rosjanina.
Przykład b: ktoś podaje podczas rejestracji na rosyjskiej poczcie rosyjsko brzmiące imię i nazwisko, ale robi to celowo (socjotechnika) żeby być w Sieci odbieranym jako Rosjanin. Z jakiegoś powodu zależy mu na tym.
.
W przypadku listy studentów (na jednej ze słabszych uczelni w Polsce) nie sądzę żeby komuś zależało na socjotechnice i raczej jego email na Yandeksie oznacza że jest on po prostu Ukraińcem albo Rosjaninem.
.
Żeby wszystkich pogodzić:
https://i.imgur.com/lhO2MO2.jpg
W czasach studenckich się na Jandeksie rejestrowałem na ruskie nazwisko, ponieważ potrzebowałem na forum – tamtejsze fora elektroniczne są nieco lepsze niż nasze „zasilacz-z-czarnej-listy” elektrody.
UMCS w ogóle ma lekkie podejście do życia cyfrowego. Przykład: w sierpniu zachęcał studentów do zakładania kont na zagranicznych serwerach, sugerując, że jest to preferowana forma kontaktu między studentami a uczelnią.
Cytat: Wszystkich studentów, którzy w październiku zaczną swoją przygodę na naszym Uniwersytecie, zapraszamy do dołączenia do specjalnych grup na Facebooku. Dołączcie do nich, poznajcie innych studentów i bądźcie na bieżąco ze wszystkim, co aktualnie dzieje się na Wydziałach! Nie bójcie się zadawać pytań i udostępniać materiałów, wydarzeń i innych aktywności – najciekawsze będą udostępniane w uczelnianych mediach społecznościowych!
„Nie bójcie się zadawać pytań i udostępniać materiałów, wydarzeń i innych aktywności” :D
http://www.umcs.pl/pl/aktualnosci,33,dolacz-do-wydzialowych-grup-na-facebooku,53276.chtm
U nas na Politechnice Krakowskiej była bardzo podobna sytuacja. Prowadzący zajęcia udostępnił na swojej stronie plik z ocenami końcowymi i danymi studentów. Plik był dostępny dla każdego i zawierał po za pkt z egzaminu takie dane jak: imię, nazwisko, nr studenta, token studenta, status(czy powtarza rok) i bodajże PESEL.
Realia są takie, że to uczelnia i każdy będzie się obawiał o swój los aby ktoś w odwecie nie próbował go uwalić na jakimś egzaminie lub robić pod górkę np w dziekanacie.
No właśnie tak to działa i dlatego nigdy na uczelniach się to nie zmieni, dopóki znudzeni życiem profesorkowie za 2k brutto będą oceniać po twarzach, a nie po umiejętnościach (egzamin ustny powinien w ogóle wyjść z użycia…).
Studenci bardzo chcieliby coś zmieniać, brać udział w życiu uczelni itp. ale no strach się wychylić albo, o zgrozo, kogoś skrytykować… sam studentem byłem i wiem, jak to wygląda. Całe Koło Naukowe się rozpadło, bo uczelnia wiecznie rzucała kłody pod każde przedsięwzięcie (a teraz płacz dyrektorka, że koło nic nie robi :D)
Czy ten administrator to nie miał przypadkiem na imię Andrzej?
Tak, to Andrzej Buse. Jego email to [email protected]
Email zaczynający się od „abuse” to niezła ironia losu jest… albo samospełniająca się przepowiednia.
Po pierwsze: jakość kształcenia na polskich uczelniach znajduje odzwierciedlenie w niejednym światowym rankingu
Po drugie: problem dotyczy uczelni państwowej, czyli opłacanej z budżetu, więc mści się strategia „taniego państwa”
Po trzecie: nieraz jako kierowca byłem świadkiem sytuacji, że kierowca radiowozu jadącego ulicą miasta z szybkością 60km/h nie reaguje na kierowców, którzy ten radiowóz wyprzedzają. Jeśli strażnik prawa nie reaguje na łamanie przepisów, to co mówić o pracownikach uczelni.
No trochę płakać mi się chce jak to czytam, typowy Polski Naród. A co jeśli rzeczywiście to starosta wrzucił ten plik ? Artykuł jest napisany tendencyjnie a ludzie jak do miodu zaraz. Sorki ale nie chce mi się wierzyć, że administrator mając DOSTĘP do prywatnych maili studentów (?) wysłał im te dane. Cytat z wyjaśnienia „odpowiadając na post starosty danego roku dotyczący zainteresowania uzyskaniem dostępu do darmowego oprogramowania” sugeruje że można bardzo łatwo to sprawdzić czy rzeczywiście taki post istnieje.
Jak napisano w tekście, grupa facebookowa została usunięta. Więc nie.
Sytuacja by się nie wydarzyła gdyby na uczelni działał zintegrowany system, do którego dostęp miałby zarówno pracownik uczelni jak i student. Obecnie, każdy radzi sobie jak może a pracownicy uczelni pochłonięci swoimi „dziedzinami”, nie ogarniają, że metody używane 20 lat temu już się nie sprawdzają. Zapewne nikt nie zrobił nic umyślnie, co więcej większość wykładowców czy nawet adminów pochodzi z prowincji, na której szczytem techniki był Ursus w stodole. Od i mamy nasz Polski świat ochrony danych i systemów IT. Pocieszające jest w tym wszystkim to, że ludzie zaczynają głośno mówić o zabezpieczeniu swoich danych.
No bo na naszych uczelniach technicznych wykładają dinozaury. Bezużyteczne wyspecjalizowane w wąskim zakresie jednostki, które z wielką łaską przekazują wiedzę aktualną przed dwudziestu laty… i nie przemówisz takiemu ramolowi, żeby się dokształcił. Niee… studenci muszą na własną rękę uczyć się rzeczy naprawdę przydatnych, bo inaczej wychodzą kolejni klepacze kodu, którzy nic nie zrobią w pracy bez tutoriala.
Przepraszam, ale mam pytanie do redakcji.
Czy czasem wykorzystane przez Państwa rozmycie tekstu w zrzutach ekranu nie jest możliwe do odkodowania? Ostatnio na konkurencyjnej stronie o tematyce bezpieczeństwa był z tym niemały problem.
To akurat rozmywała osoba która przysłała zrzut ekranu. Ale raczej będzie to co najmniej bardzo trudne.
Piotr z Niebezpiecznika pisał o tym jakiś czas temu.
.
Wystarczy nałożyć, na to co chcesz zamazać, znaki z generatora losowego, można dodać szum Gaussa i jeszcze raz to wszystko rozmyć. Nie do odtworzenia!
albo zalać czarnym kubełkiem i się nie denerwować
Nic z tego nie będzie. To znaczy studenci zostaną uciszeni, plik zniknie i tyle. GIODO nawet nie spojrzy w ich stronę, chyba, że ktoś ma dobre dojścia – ciężko uzyskać od nich jakąkolwiek reakcję, przynajmniej w sytuacjach niemedialnych.
Tu potwierdzam. Moją sprawę GIODO bada już ponad rok – jak na razie ZERO wniosków.
To to tam pikuś ;) Jeśli to jest ten sam „prowadzący” o którym myślę to na swoich przedmiotach zmusza studentów do zakładania masy kont w usługach ms, google itd. wszystkie na imię nazwisko itd. Następnie należy umieścić dane (linki do profili itd.) w odpowiednim pliku na dysku google (1 plik dla całego rocznika). To jest podstawą zaliczenia… kij, że przedmiot to np. „Podstawy programowania w .NET”.
Jeśli to inny prowadzący, to widzę więcej patoli na tej uczelni niż myślałem.