Uwaga studenci Politechniki Warszawskiej, jednak wyciekły także dane z Moodla

dodał 4 sierpnia 2020 o 14:10 w kategorii Włamania  z tagami:
Uwaga studenci Politechniki Warszawskiej, jednak wyciekły także dane z Moodla

Niektóre incydenty wydają się nie mieć końca. Nie inaczej jest w przypadku głośnego wycieku danych studentów Politechniki Warszawskiej. Wbrew informacjom publikowanym przez PW zakres wycieku danych jest większy.

4 maja poinformowaliśmy o poważnym wycieku danych osobowych studentów PW, pobierających nauki w Ośrodku Kształcenia na Odległość. Wówczas wiedzieliśmy o wykradzeniu bazy danych serwisu OKNO i wraz z nią danych ok. 5000 osób. Dzisiaj skontaktował się z nami włamywacz, który poinformował, że nie była to jedyna wykradziona baza. Co ciekawe, najwyraźniej nie zdaje sobie z tego sprawy sama PW.

Baza nie wyciekła, a wyciekła

Na stronie Politechniki Warszawskiej poświęconej temu incydentowi znajduje się zestaw pytań i odpowiedzi. Już pierwsza z nich wydaje się nie mieć potwierdzenia w dowodach, które dzisiaj zobaczyliśmy.

Komunikat PW

Pytanie brzmi:

Czy ujawnione dane osobowe pochodzą z Platformy administracyjnej RED – czyli przeznaczonej dla studentów i pracowników OKNO, czy Moodla w domenie OKNO?

Odpowiedź PW to:

Dane pochodzą tylko z platformy RED.

Najwyraźniej czas zaktualizować odpowiedź, ponieważ włamywacz udowodnił nam, że wykradł także bazy danych z systemu Moodle. Jak sam informuje, instancje Moodle miały oddzielne konta MySQL, jednak konto aplikacji OKNO Red miało uprawnienia do czytania wszystkich baz.

Co jeszcze wyciekło

W rękach włamywacza znalazły się zarówno baza studiów inżynierskich, jak i magisterskich. Ta pierwsza zawiera dane ok. 2500 studentów, ta druga z kolei dane 1900 osób. Na szczęście tym razem dane mają nieco mniejszy zakres – są to głównie imię, nazwisko, adres e-mail (prywatny, uczelniany lub oba) oraz hasze haseł. Według wstępnej oceny bazy nie zawierają istotnych zbiorów innych danych osobowych.

Przykładowy fragment bazy

Warto też zaznaczyć, że bazy zawierają – jak to Moodle – korespondencję między studentami a osobami prowadzącymi zajęcia, w której mogły znajdować się różne rodzaje informacji, brak jednak możliwości ustalenia szczegółów ich zawartości.

Jak wyglądała analiza powłamaniowa?

To bardzo dobre pytanie. Jeśli włamywacz ma rację, to wygląda na to, że komunikat skierowany do poszkodowanych studentów oparty był bardziej o artykuły prasowe niż rzetelną analizę incydentu. Bo nie wierzymy, że w trakcie analizy nie sprawdzono, jakie uprawnienia miało konto, z którego operował włamywacz. Studentom pozostaje mieć nadzieję, że to koniec rewelacji związanych z tym incydentem.

Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 10%.

Otrzymaliśmy także takie oto stanowisko PW:

W wyniku dalszych analiz prowadzonych w maju br., a związanych z nieuprawnionym dostępem do danych osobowych ustalono, że włamywacz mógł również uzyskać dostęp do instancji Moodle. Dane studentów i wykładowców były pobierane na platformy Moodle z platformy RED, stanowiąc ograniczony podzbiór tych danych. Niemniej na platformach Moodle mechanizm indywidualnej komunikacji między studentami i wykładowcami był wyłączony. Politechnika Warszawska w pierwszych działaniach analizowała zakres danych ulegających ujawnieniu, tak aby jak najszybciej i w maksymalnym stopniu zapewnić bezpieczeństwo danych osób pokrzywdzonych przez incydent. Platforma RED została wyłączona, a dane z platformy zostały przeniesione do innych serwisów. Niezwłocznie zostały utworzone nowe instancje Moodle w nowym środowisku.

Pragniemy przede wszystkim podkreślić, że opublikowane w Państwa serwisie zrzuty baz danych są powiązane z incydentem z dnia 4 maja br., dotyczącego baz Ośrodka Kształcenia na Odległość i nie stanowią nowego incydentu bezpieczeństwa w tym zakresie. W sprawie tej nadal prowadzone jest postępowanie prokuratorskie z równoległą analizą, której wyników ujawniać nie możemy w związku z prowadzonym śledztwem.