Wyciek danych studentów, pracowników i współpracowników Uniwersytetu Warszawskiego

dodał 18 listopada 2020 o 16:06 w kategorii Info, Prywatność  z tagami:
Wyciek danych studentów, pracowników i współpracowników Uniwersytetu Warszawskiego

Polskie uczelnie od dawna nie mają szczęścia do ochrony danych swoich studentów i pracowników. Uniwersytet Warszawski właśnie informuje o dużym incydencie bezpieczeństwa, dotyczącym studentów MIMUW, WPiA oraz pracowników uczelni.

Wycieki, wycieki, wycieki. Zgubiony laptop pracownika, SGGW, atak włamywacza na Politechnikę Warszawską, atak przestępców na SWPS i Collegium Da Vinci – do kolekcji dużych incydentów na polskich uczelniach w ostatnich miesiącach dołączył właśnie Uniwersytet Warszawski i to w dość trywialny sposób.

Bo to ukryte repozytorium było

UW rozsyła dzisiaj wiadomości do swoich studentów i pracowników, informując o incydencie bezpieczeństwa i prawdopodobnym wycieku ich danych. Pełną treść komunikatu możecie sobie rozwinąć poniżej, my skupimy się na najciekawszych elementach – czyli „co, jak i kiedy”.

Pełna treść wiadomości
Szanowna Pani / Szanowny Panie, Administrator danych osobowych, jakim jest Uniwersytet Warszawski z siedzibą w Warszawie przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa, w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) niniejszym informuję o możliwości naruszenia ochrony Pani/Pana danych osobowych, w związku z incydentem, który stwierdzono w dniu 5 listopada 2020 r. w Warszawie. Charakter naruszenia W dniu 5 listopada 2020 r., na podstawie powiadomienia przesłanego do Uniwersytetu Warszawskiego przez CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane studentów Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego, a w niektórych przypadkach studentów Wydziału Prawa i Administracji, ponadto w repozytorium znajdowały się dane pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. Chciałem podkreślić, że na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu. Repozytorium z danymi było ukryte. Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej. Administrator stwierdził, że w wyniku ataku nieznany sprawca uzyskał dostęp do Pani/Pana danych osobowych w zakresie: imiona i nazwisko, informacja o zmianie nazwiska, nazwisko panieńskie, płeć, zdjęcie, PESEL, data urodzenia, obywatelstwo, nr indeksu, numery telefonów (prywatne/służbowe), adres e-mail (prywatny, służbowy, studencki), adresy korespondencyjne, stopień naukowy, status osoby: student/pracownik, dane dot. profilu w bazie USOS, program studiów, funkcje pełnione na uczelni. Możliwe konsekwencje Niestety pozyskanie powyższych danych osobowych może potencjalnie pomóc nieuczciwym osobom w nielegalnych działaniach, m.in.: uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych, na szkodę osoby, której dane dotyczą (takie instytucje umożliwiają uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); podrobienie dokumentu tożsamości; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia (dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą nr PESEL); korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego); wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu; zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych; zawarcia umów cywilno-prawnych; założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych); podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej); otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu. Zaistniałe zdarzenie zostało zgłoszone jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto wskazane repozytorium kodu źródłowego zostało usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Pion Informatyczny Wydziału Matematyki, Informatyki i Mechaniki UW aktualnie prowadzi audyt serwisu, którego celem jest zminimalizowanie ryzyka, które wystąpiło w wyniku incydentu. Został powołany tzw. zespół kryzysowy, którego zadaniem jest pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości. Ponadto planowane jest przeprowadzenie audytu zewnętrznego przez niezależnego audytora. Administrator danych osobowych jest w stałym kontakcie z CERT Polska. Administrator danych osobowych złożył zawiadomienie do prokuratury o możliwości popełnienia przestępstwa. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie. W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również: skorzystać z możliwości założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania próby uzyskania kredytu (np. Biuro Informacji Kredytowej https://www.bik.pl; Biuro Informacji Gospodarczej InfoMonitor https://big.pl; Krajowy Rejestr Długów https://krd.pl; ERIF Biuro Informacji Gospodarczej S.A. https://erif.pl), w przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłosić ten fakt do organów ścigania; skorzystać z możliwości zastrzeżenia numeru PESEL (np. https://www.bezpiecznypesel.pl); skorzystać z możliwości zastrzeżenia dokumentu tożsamości w systemie dokumenty zastrzeżone (więcej informacji: www.dokumentyzastrzezone.pl) i jego wymiany; skorzystać z https://www.centralnainformacja.pl w celu uzyskania informacji o rachunkach bankowych; monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej); ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców; monitorować stronę internetową https://haveibeenpwned.com/ pod kątem możliwości wycieku danych w postaci adresu e-mail; wykonać zmianę haseł do serwisów poczty elektronicznej, banków i portali społecznościowych (proponujemy w celu generowania haseł korzystanie z menadżerów haseł i wprowadzenie uwierzytelniania dwuskładnikowego); ustawić alerty logowań do wszystkich serwisów do których posiada Pani/Pan dostęp; podawać minimum danych niezbędnych do wykonania określonych czynności przetwarzania. Jeżeli dowie się Pani/Pan o wykorzystaniu Pani/Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji. Gdzie można uzyskać więcej informacji? Jeżeli ma Pani/Pan jakiekolwiek pytania lub chce Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym inspektorem ochrony danych: Dominik Ferenc – Inspektor Ochrony Danych UW poczta: Inspektor Ochrony Danych Uniwersytet Warszawski, ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa adres e-mail: [email protected] tel.: 22 55 22 042. Za zaistniały incydent, pragniemy Panią/Pana serdecznie przeprosić i poinformować, że podjęliśmy stosowne działania, by podobna sytuacja nie miała miejsca w przyszłości. Z wyrazami szacunku Paweł Strzelecki === prof. dr hab. Paweł Strzelecki Dziekan Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego
MIMUW

Zacznijmy od pierwszego pytania, czyli co wyciekło. Tu nie mamy dobrych wiadomości. Według komunikatu w ręce niepowołanych osób mógł trafić pełny zestaw danych osobowych przetwarzanych przez uczelnię. Wszyscy studenci MIMUW (nie wiemy niestety, których roczników to dotyczy – komunikat tego nie precyzuje) i „część studentów WPiA” (nie wiemy, która część), a także pracownicy i współpracownicy zostali narażeni na wyciek takich danych jak:

  • imiona i nazwisko,
  • informacja o zmianie nazwiska,
  • nazwisko panieńskie,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • numer indeksu,
  • numery telefonów (prywatne/służbowe),
  • adresy e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • stopień naukowy,
  • status osoby: student/pracownik,
  • dane dot. profilu w bazie USOS,
  • program studiów,
  • funkcje pełnione na uczelni.

Wygląda na komplet danych przechowywanych w USOS-ie. Jak zatem doszło do wycieku i jak dowiedział się o nim UW? To chyba najciekawszy dla naszych czytelników fragment:

[…] w serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane […] Umieszczenie repozytorium z danymi było
następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. […] Repozytorium z danymi było ukryte. […] Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem
repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej.

Analiza wsteczna komunikatu wskazuje, że najprawdopodobniej w serwisie www.mimu.edu.pl w trakcie prac wdrożeniowych pozostawiono dostęp do folderu /.git, zawierającego pełne informacje o wszystkich plikach znajdujących się na serwerze, a w plikach tych znaleziono bazę danych oraz klucz do API umożliwiającego odpytanie USOS-a o wszystko. To swego czasu dość popularny błąd – ale mówiąc „swego czasu” mamy na myśli lata 2000 -2010, a nie 2020.

W komunikacie znajdują się także inne kwiatki.

W dniu 5 listopada 2020 r., na podstawie powiadomienia przesłanego do Uniwersytetu Warszawskiego przez CERT Polska o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017
roku w ww. serwisie dostępny był katalog […] Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.

Wszystko zatem wskazuje na to, że dane leżały sobie od czerwca 2017(!), a Uniwersytet dowiedział się o tym tylko dlatego, że informację przekazał zespół CERT Polska. Sam CERT opis błędu otrzymał podobno od kogoś, kto błąd odkrył i chciał w odpowiedzialny sposób przekazać dalej. Brawo odkrywca, brawo CERT Polska za sprawną obsługę incydentu, ale zdecydowanie nie brawo Uniwersytet. Na dokładkę logi wskazują, że z danymi zapoznała się osoba nieuprawniona – ciekawe, czy tylko jedna. To nie wygląda dobrze.

Niezwykle ciekawa jest też terminologia użyta w opisie incydentu. W tym samym komunikacie znaleźć możemy takie oto stwierdzenia:

[…] na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu […]

Repozytorium z danymi było ukryte […] dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie

Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu […]

Administrator stwierdził, że w wyniku ataku nieznany sprawca uzyskał dostęp […]

Gdy to czytamy, to nasuwa się jeden wniosek: skoro dane były ukryte, nie były dostępne w łatwy sposób, potrzebne były działania inwazyjne oraz atak, lecz mimo tego nie doszło do przełamania zabezpieczeń, to znaczy, że tych zabezpieczeń po prostu nie było. Niestety.

Komentarz eksperta

O komentarz do incydentu poprosiliśmy Katarzynę Muszyńską, Head of Data Protection Team w LexDigital Sp. z o.o.

W przypadku przygotowywania powiadomień do osób, których dane uległy naruszeniu, ważne jest, aby dostosować ich treść do zakresu danych posiadanych o tej osobie. Możemy przypuszczać, że zakres danych różnił się w przypadku studentów uczelni i pracowników oraz współpracowników. Co za tym idzie – osoby te mogą spotkać się z innym rodzajem konsekwencji związanych z naruszeniem ich prywatności. Urząd Ochrony Danych Osobowych kładzie ogromny nacisk na przygotowywanie informacji możliwie jak najbardziej spersonalizowanej dla danej grupy osób. Wielokrotnie po zgłoszeniu naruszenia do organu nadzorczego konieczna jest weryfikacja treści i ponowna wysyłka komunikatu.

Trudnością, jaką napotykają organizacje podczas wysyłki komunikatów o incydencie, jest fakt posiadania aktualnych danych kontaktowych do osoby. Być może adresy e-mail nie są już aktywne i jedynym rozwiązaniem na skuteczne powiadomienie staje się wysyłka listu pocztą tradycyjną. 

Warto wspomnieć, że podczas analizy tego typu incydentów przydatnym narzędziem staje się ocena wagi naruszenia wg modelu Enisa (wytyczne Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji). Ocena pozwala na klasyfikację naruszenia i uzyskanie informacji, jak daleko idące konsekwencje incydent niesie dla danej osoby. Na bazie wyniku analizy podejmuje się decyzję o zgłoszeniu naruszenia do organu nadzorczego i podjęcia środków zaradczych.

Na koniec coś pozytywnego

Wygląda na to, że w przeciwieństwie do Politechniki Warszawskiej, UW obsługuje incydent w sposób rzetelny i otwarty. Zamiast zamiatać sprawę pod dywan i udawać, że nic się nie stało, jasno i otwarcie komunikuje przyczyny i skalę problemu. Co więcej, gdy zerkniemy na rekomendacje przekazane ofiarom, zobaczymy wiele wartościowych uwag. Dowiemy się, że:

  • powołano zespół kryzysowy,
  • incydent został zgłoszony odpowiednim organom,
  • zmieniono hasła i klucze dostępu,
  • trwa audyt wewnętrzny i szykowany jest audyt zewnętrzny,
  • UW monitoruje, czy dane nie zostały upublicznione.

UW rekomenduje także korzystanie np. z HaveIBeenPwned, dwuskładnikowego uwierzytelnienia i menedżerów haseł. To dobre rekomendacje. W sumie to chyba najlepszy zestaw rekomendacji, jaki widzieliśmy do tej pory pod komunikatem o wycieku danych. Na minus zaliczymy tylko brak jakiegokolwiek komunikatu na stronie MIMUW (albo my nie potrafimy znaleźć).

Podsumowując, incydent bardzo wstydliwy, a reakcja całkiem niezła. Przedmiot oblany, ale można powtarzać.

O bezpieczeństwie kont i hasłach

Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 29 innych tematów, ważnych dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 25%.

Tekst zaktualizowany o informacje o odkrywcy, który powiadomił CERT Polska oraz o komentarz eksperta, zamieniona została też grafika z USOSweb na stronę główną MIMUW, by uniknąć wątpliwości.