18.11.2020 | 16:06

Adam Haertle

Wyciek danych studentów, pracowników i współpracowników Uniwersytetu Warszawskiego

Polskie uczelnie od dawna nie mają szczęścia do ochrony danych swoich studentów i pracowników. Uniwersytet Warszawski właśnie informuje o dużym incydencie bezpieczeństwa, dotyczącym studentów MIMUW, WPiA oraz pracowników uczelni.

Wycieki, wycieki, wycieki. Zgubiony laptop pracownika, SGGW, atak włamywacza na Politechnikę Warszawską, atak przestępców na SWPS i Collegium Da Vinci – do kolekcji dużych incydentów na polskich uczelniach w ostatnich miesiącach dołączył właśnie Uniwersytet Warszawski i to w dość trywialny sposób.

Bo to ukryte repozytorium było

UW rozsyła dzisiaj wiadomości do swoich studentów i pracowników, informując o incydencie bezpieczeństwa i prawdopodobnym wycieku ich danych. Pełną treść komunikatu możecie sobie rozwinąć poniżej, my skupimy się na najciekawszych elementach – czyli „co, jak i kiedy”.

Pełna treść wiadomości
Szanowna Pani / Szanowny Panie, Administrator danych osobowych, jakim jest Uniwersytet Warszawski z siedzibą w Warszawie przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa, w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) niniejszym informuję o możliwości naruszenia ochrony Pani/Pana danych osobowych, w związku z incydentem, który stwierdzono w dniu 5 listopada 2020 r. w Warszawie. Charakter naruszenia W dniu 5 listopada 2020 r., na podstawie powiadomienia przesłanego do Uniwersytetu Warszawskiego przez CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane studentów Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego, a w niektórych przypadkach studentów Wydziału Prawa i Administracji, ponadto w repozytorium znajdowały się dane pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. Chciałem podkreślić, że na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu. Repozytorium z danymi było ukryte. Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona. Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej. Administrator stwierdził, że w wyniku ataku nieznany sprawca uzyskał dostęp do Pani/Pana danych osobowych w zakresie: imiona i nazwisko, informacja o zmianie nazwiska, nazwisko panieńskie, płeć, zdjęcie, PESEL, data urodzenia, obywatelstwo, nr indeksu, numery telefonów (prywatne/służbowe), adres e-mail (prywatny, służbowy, studencki), adresy korespondencyjne, stopień naukowy, status osoby: student/pracownik, dane dot. profilu w bazie USOS, program studiów, funkcje pełnione na uczelni. Możliwe konsekwencje Niestety pozyskanie powyższych danych osobowych może potencjalnie pomóc nieuczciwym osobom w nielegalnych działaniach, m.in.: uzyskanie przez osoby trzecie kredytu w instytucjach pozabankowych, na szkodę osoby, której dane dotyczą (takie instytucje umożliwiają uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości); podrobienie dokumentu tożsamości; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia (dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą nr PESEL); korzystanie z praw obywatelskich, osoby której dane naruszono (np. przez głosowanie nad środkami budżetu obywatelskiego); wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu; zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych; zawarcia umów cywilno-prawnych; założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych); podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej); otrzymywanie niezamówionych informacji handlowych lub inne wykorzystanie w celach marketingowych. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu. Zaistniałe zdarzenie zostało zgłoszone jako naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto wskazane repozytorium kodu źródłowego zostało usunięte i dokonano zmiany haseł dostępowych, w tym kluczy dostępu. Pion Informatyczny Wydziału Matematyki, Informatyki i Mechaniki UW aktualnie prowadzi audyt serwisu, którego celem jest zminimalizowanie ryzyka, które wystąpiło w wyniku incydentu. Został powołany tzw. zespół kryzysowy, którego zadaniem jest pogłębiona analiza zdarzenia i uniknięcie podobnej sytuacji w przyszłości. Ponadto planowane jest przeprowadzenie audytu zewnętrznego przez niezależnego audytora. Administrator danych osobowych jest w stałym kontakcie z CERT Polska. Administrator danych osobowych złożył zawiadomienie do prokuratury o możliwości popełnienia przestępstwa. Uniwersytet Warszawski będzie także na bieżąco monitorował, czy w internecie nie doszło do upublicznienia danych z repozytorium, którego dotyczy naruszenie. W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również: skorzystać z możliwości założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania próby uzyskania kredytu (np. Biuro Informacji Kredytowej https://www.bik.pl; Biuro Informacji Gospodarczej InfoMonitor https://big.pl; Krajowy Rejestr Długów https://krd.pl; ERIF Biuro Informacji Gospodarczej S.A. https://erif.pl), w przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłosić ten fakt do organów ścigania; skorzystać z możliwości zastrzeżenia numeru PESEL (np. https://www.bezpiecznypesel.pl); skorzystać z możliwości zastrzeżenia dokumentu tożsamości w systemie dokumenty zastrzeżone (więcej informacji: www.dokumentyzastrzezone.pl) i jego wymiany; skorzystać z https://www.centralnainformacja.pl w celu uzyskania informacji o rachunkach bankowych; monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej); ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców; monitorować stronę internetową https://haveibeenpwned.com/ pod kątem możliwości wycieku danych w postaci adresu e-mail; wykonać zmianę haseł do serwisów poczty elektronicznej, banków i portali społecznościowych (proponujemy w celu generowania haseł korzystanie z menadżerów haseł i wprowadzenie uwierzytelniania dwuskładnikowego); ustawić alerty logowań do wszystkich serwisów do których posiada Pani/Pan dostęp; podawać minimum danych niezbędnych do wykonania określonych czynności przetwarzania. Jeżeli dowie się Pani/Pan o wykorzystaniu Pani/Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji. Gdzie można uzyskać więcej informacji? Jeżeli ma Pani/Pan jakiekolwiek pytania lub chce Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym inspektorem ochrony danych: Dominik Ferenc – Inspektor Ochrony Danych UW poczta: Inspektor Ochrony Danych Uniwersytet Warszawski, ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa adres e-mail: [email protected] tel.: 22 55 22 042. Za zaistniały incydent, pragniemy Panią/Pana serdecznie przeprosić i poinformować, że podjęliśmy stosowne działania, by podobna sytuacja nie miała miejsca w przyszłości. Z wyrazami szacunku Paweł Strzelecki === prof. dr hab. Paweł Strzelecki Dziekan Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego
MIMUW

Zacznijmy od pierwszego pytania, czyli co wyciekło. Tu nie mamy dobrych wiadomości. Według komunikatu w ręce niepowołanych osób mógł trafić pełny zestaw danych osobowych przetwarzanych przez uczelnię. Wszyscy studenci MIMUW (nie wiemy niestety, których roczników to dotyczy – komunikat tego nie precyzuje) i „część studentów WPiA” (nie wiemy, która część), a także pracownicy i współpracownicy zostali narażeni na wyciek takich danych jak:

  • imiona i nazwisko,
  • informacja o zmianie nazwiska,
  • nazwisko panieńskie,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • numer indeksu,
  • numery telefonów (prywatne/służbowe),
  • adresy e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • stopień naukowy,
  • status osoby: student/pracownik,
  • dane dot. profilu w bazie USOS,
  • program studiów,
  • funkcje pełnione na uczelni.

Wygląda na komplet danych przechowywanych w USOS-ie. Jak zatem doszło do wycieku i jak dowiedział się o nim UW? To chyba najciekawszy dla naszych czytelników fragment:

[…] w serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane […] Umieszczenie repozytorium z danymi było
następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. […] Repozytorium z danymi było ukryte. […] Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem
repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej.

Analiza wsteczna komunikatu wskazuje, że najprawdopodobniej w serwisie www.mimu.edu.pl w trakcie prac wdrożeniowych pozostawiono dostęp do folderu /.git, zawierającego pełne informacje o wszystkich plikach znajdujących się na serwerze, a w plikach tych znaleziono bazę danych oraz klucz do API umożliwiającego odpytanie USOS-a o wszystko. To swego czasu dość popularny błąd – ale mówiąc „swego czasu” mamy na myśli lata 2000 -2010, a nie 2020.

W komunikacie znajdują się także inne kwiatki.

W dniu 5 listopada 2020 r., na podstawie powiadomienia przesłanego do Uniwersytetu Warszawskiego przez CERT Polska o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017
roku w ww. serwisie dostępny był katalog […] Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.

Wszystko zatem wskazuje na to, że dane leżały sobie od czerwca 2017(!), a Uniwersytet dowiedział się o tym tylko dlatego, że informację przekazał zespół CERT Polska. Sam CERT opis błędu otrzymał podobno od kogoś, kto błąd odkrył i chciał w odpowiedzialny sposób przekazać dalej. Brawo odkrywca, brawo CERT Polska za sprawną obsługę incydentu, ale zdecydowanie nie brawo Uniwersytet. Na dokładkę logi wskazują, że z danymi zapoznała się osoba nieuprawniona – ciekawe, czy tylko jedna. To nie wygląda dobrze.

Niezwykle ciekawa jest też terminologia użyta w opisie incydentu. W tym samym komunikacie znaleźć możemy takie oto stwierdzenia:

[…] na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu […]

Repozytorium z danymi było ukryte […] dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie

Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu […]

Administrator stwierdził, że w wyniku ataku nieznany sprawca uzyskał dostęp […]

Gdy to czytamy, to nasuwa się jeden wniosek: skoro dane były ukryte, nie były dostępne w łatwy sposób, potrzebne były działania inwazyjne oraz atak, lecz mimo tego nie doszło do przełamania zabezpieczeń, to znaczy, że tych zabezpieczeń po prostu nie było. Niestety.

Komentarz eksperta

O komentarz do incydentu poprosiliśmy Katarzynę Muszyńską, Head of Data Protection Team w LexDigital Sp. z o.o.

W przypadku przygotowywania powiadomień do osób, których dane uległy naruszeniu, ważne jest, aby dostosować ich treść do zakresu danych posiadanych o tej osobie. Możemy przypuszczać, że zakres danych różnił się w przypadku studentów uczelni i pracowników oraz współpracowników. Co za tym idzie – osoby te mogą spotkać się z innym rodzajem konsekwencji związanych z naruszeniem ich prywatności. Urząd Ochrony Danych Osobowych kładzie ogromny nacisk na przygotowywanie informacji możliwie jak najbardziej spersonalizowanej dla danej grupy osób. Wielokrotnie po zgłoszeniu naruszenia do organu nadzorczego konieczna jest weryfikacja treści i ponowna wysyłka komunikatu.

Trudnością, jaką napotykają organizacje podczas wysyłki komunikatów o incydencie, jest fakt posiadania aktualnych danych kontaktowych do osoby. Być może adresy e-mail nie są już aktywne i jedynym rozwiązaniem na skuteczne powiadomienie staje się wysyłka listu pocztą tradycyjną. 

Warto wspomnieć, że podczas analizy tego typu incydentów przydatnym narzędziem staje się ocena wagi naruszenia wg modelu Enisa (wytyczne Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji). Ocena pozwala na klasyfikację naruszenia i uzyskanie informacji, jak daleko idące konsekwencje incydent niesie dla danej osoby. Na bazie wyniku analizy podejmuje się decyzję o zgłoszeniu naruszenia do organu nadzorczego i podjęcia środków zaradczych.

Na koniec coś pozytywnego

Wygląda na to, że w przeciwieństwie do Politechniki Warszawskiej, UW obsługuje incydent w sposób rzetelny i otwarty. Zamiast zamiatać sprawę pod dywan i udawać, że nic się nie stało, jasno i otwarcie komunikuje przyczyny i skalę problemu. Co więcej, gdy zerkniemy na rekomendacje przekazane ofiarom, zobaczymy wiele wartościowych uwag. Dowiemy się, że:

  • powołano zespół kryzysowy,
  • incydent został zgłoszony odpowiednim organom,
  • zmieniono hasła i klucze dostępu,
  • trwa audyt wewnętrzny i szykowany jest audyt zewnętrzny,
  • UW monitoruje, czy dane nie zostały upublicznione.

UW rekomenduje także korzystanie np. z HaveIBeenPwned, dwuskładnikowego uwierzytelnienia i menedżerów haseł. To dobre rekomendacje. W sumie to chyba najlepszy zestaw rekomendacji, jaki widzieliśmy do tej pory pod komunikatem o wycieku danych. Na minus zaliczymy tylko brak jakiegokolwiek komunikatu na stronie MIMUW (albo my nie potrafimy znaleźć).

Podsumowując, incydent bardzo wstydliwy, a reakcja całkiem niezła. Przedmiot oblany, ale można powtarzać.

O bezpieczeństwie kont i hasłach

Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 29 innych tematów, ważnych dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 25%.

Tekst zaktualizowany o informacje o odkrywcy, który powiadomił CERT Polska oraz o komentarz eksperta, zamieniona została też grafika z USOSweb na stronę główną MIMUW, by uniknąć wątpliwości.

Powrót

Komentarze

  • 2020.11.18 16:32 Vegeta_Ssj

    Nie „brawo Cert Polska” tylko brawo osobo ktora podeslala info o podatnosci do Cert Polska.

    Odpowiedz
    • 2020.11.18 17:04 JanKowalski

      Nie bardzo rozumiem. Czy mógłbyś wyjaśnić o co chodzi?

      Odpowiedz
      • 2020.11.18 23:48 aa

        Znany manipulant. Zignoruj go.

        Odpowiedz
  • 2020.11.18 16:36 Marcin

    Niestety, są poszlaki że wyciek mógł być szerszy, jestem studentem innego wydziału UW niż wymienione i też dostałem maila z tym powiadomieniem. Aktualnie staram się wyjaśnić, czy nie został wysłany przez pomyłkę i jak moje dane znalazły się na serwerach MIMUW.

    Odpowiedz
    • 2020.11.18 18:12 Adam

      Jestem absolwentem MIMUW i z dawnych rozmów z wydziałowym adminem pamiętam, że MIMUW hostował USOSa dla całego UW, hostował też serwis do rekrutacji (IRK to się nazywało). Więc zdziwiłbym się, gdyby problem dotyczył tylko studentów MIMUW.

      Jedyna szansa jest wówczas, jeśli są oddzielne instancje dla różnych wydziałów i (to ważne): mają różne klucze API, które *nie są* w tym samym repo.

      Na szczęście od 10 lat już jestem magistrem ;)

      Odpowiedz
      • 2020.11.20 17:56 asdsad

        Magister, nie bój, nie bój… myślisz, że oni skasowali dane, bo skończyłeś studia?

        Odpowiedz
        • 2020.11.20 23:03 Karol

          No właśnie… dane których studentów wyciekły? Obecnych? Byłych? Dane absolwentów też?

          Ktoś wie?

          Odpowiedz
  • 2020.11.18 16:41 jajok

    I teraz powstaje ciekawe pytanie, czy to byl nieuprawniony dostep skoro nie bylo zadnego zabezpieczenia…

    Odpowiedz
    • 2020.11.18 18:50 takaprawda

      głębokie ukrycie jest zabezpieczeniem tak czy siak, to jak zakopanie sztaby złota w lesie i nikt mi nie wmówi, że tak nie jest, nie sprowadzajmy się wyłącznie do haseł, wielo-składmnikowych cudów, a to że ktoś może sobie z wykrywaczem metali przechodzić to już inna sprawa :)

      Odpowiedz
      • 2020.11.18 20:47 jajok

        Porownania maja to do siebie, ze sa niedokladne i niekoniecznie odzwierciedlaja przypadek ktory jest omawiany. Jednak idac tym tokiem, znalezienie sztaby zlota w lesie przestepstwem nie jest. Tak samo jak znalezienie 5zl w trawie.

        Kiedys przyjmowalo sie, ze to co nie jest zabezpieczone jest publiczne. To jest sensowne zalozenie, poniewaz w Internecie dzieje sie wiele rzeczy, na przyklad jakies pajaczki sobie laza i skad taki automatyczny pajaczek ma wiedziec ze czegos ma nie dotykac. To wlasciciel swojej aplikacji w Internecie musi jasno okreslic „nie dotykac”. Tutaj to nie nastapilo.

        Odpowiedz
        • 2020.11.19 07:21 Radek

          Ciekawostka – znalezienie złota w lesie i nie oddanie go jest przestępstwem: https://pl.wikipedia.org/wiki/Przyw%C5%82aszczenie

          Odpowiedz
          • 2020.11.19 19:26 jajok

            Niekoniecznie. Nie wiadomo, czy sztabka znaleziona w lesie posiada prawowitego wlasciciela, czy to jakas pozostalosc na przyklad po II Wojnie Swiatowej. Dlatego wlasnie takie analogie sa bez sensu, bo sprowadzaja dyskusje na dziwne tory, niezwiazane z meriutm sprawy.

  • 2020.11.18 16:46 up2date

    Dlaczego na ilustracji do artykułu jest USOSweb a nie strona wspomniana w artykule?
    Czy taki obrazek przestraszy większą publiczność i podbije oglądalność?

    Odpowiedz
  • 2020.11.18 16:55 master

    Z tego co wiem bezpośrednio, to kto inny zauważył to niż CERT. Ta osoba zgłosiła to do MIMu, a dopiero jak MIM nie chciał reagować, skontaktowała się z CERTem żeby ich pogonili.

    Odpowiedz
  • 2020.11.18 17:55 Sławomir

    Wydział Archeologii- To samo co p.Marcina. :(

    Odpowiedz
  • 2020.11.18 18:27 student

    Z treści oświadczenia wynika, że prawdopodobnie wyciekł kod serwisu mimuw.edu.pl, w którym był klucz dostępowy do USOS API. Patrząc na daty podane w komunikacie, klucz mógł być dostępny od samego początku istnienia serwisu (który zdaje się był wdrożony w 2017 roku).

    Serwis USOSweb – usosweb.mimuw.edu.pl przedstawiony na grafice pod treścią oświadczenia jest zupełnie innym serwisem, nie powiązanym z mimuw.edu.pl (poza wykorzystywaniem tej samej domeny), i z mojej „insajderskiej” wiedzy wynika, że jego konfiguracja raczej nie wyciekła. USOS API jest aplikacją hostowaną centralnie, dla całego UW, z dostępem do danych wszystkich osób, bez podziału na wydziały.

    Klucz do USOS API mógł być wykorzystywany przez serwis mimuw.edu.pl w wyszukiwarce pracowników wydziału, która swoją wiedzę mogła czerpać z USOS. Jest wielce prawdopodobne, że ten klucz pozwalał odpytywać USOS API o dowolnego studenta oraz pracownika uczelni i udostępniał takie dane: https://usosapps.uw.edu.pl/developers/api/services/users/#user, co jest zbieżne z informacjami podanymi w komunikacie. Jeżeli klucz był skonfigurowany poprawnie to atakujący nie powinien mieć dostępu do innych funkcjonalności USOS API, takich jak pobieranie czy modyfikacja ocen studenta.

    Odpowiedz
  • 2020.11.18 19:36 pl0ns

    CERT dostal dwa zgloszenia bo na serwerach UW byly dwa repozytoria git dostepne dla kazdego kto chcial poszukac.

    Odpowiedz
    • 2020.11.18 20:39 Byron

      Skąd te informacje?

      Odpowiedz
    • 2020.11.18 20:50 anon

      Gdzie było to drugie repo? Może napiszą o tym artykuł albo dodadzą do tego?

      Odpowiedz
  • 2020.11.18 19:49 Sakme

    Jako osoba związana z UW/MIM-em/USOS-em chciałbym wyprostować kilka rzeczy. Bo już Rzeczpospolita na podstawie ZTS informuje o wielkim „wycieku z USOS-a”.

    Prawdopodobny (prawdopodobny, bo nie ma informacji o tym, że ktoś nieupoważniony faktycznie miał dostęp do danych wrażliwych) wyciek dotyczy zasobów uczelnianych, ale nie całego UW, tylko jego wydziału (UW ma kilkadziesiąt wydziałów). Lista danych, które mogły zostać udostępnione częściowo pokrywa się z tym co jest w USOS każdej uczelni. Ale tylko pokrywa. Nic więcej z tego nie wynika. W bazach USOS tak naprawdę danych może być dużo więcej albo dużo mniej, to zależy od wielu różnych czynników. Tylko, że to nie jest wyciek danych z bazy USOS, którą ma u siebie UW, tylko wyciek z portalu MIM UW.

    Z tego, że w repozytorium znajdował się klucz do USOS API również nie musi nic wynikać (oczywiście może, ale nie musi). Klucz mógł zostać dezaktywowany po zakończeniu pracy. Dodatkowo klucze mają różny poziom dostępu i obejmują konkretne metody. To mógł być klucz, który miał dostęp np. tylko do wysyłania maili na dane ID. Żadnych informacji na ten temat nie mamy, więc na razie mamy same domysły. (Swoją drogą z kluczami USOS API jako takimi USOS – jako dostawca oprogramowanie – nie może wiele zrobić. Każda uczelnia ma swoje bazy, swoje instancje API, swoje zestawy kluczy, itp. USOS nie ma do tych danych *żadnego* dostępu. Udostępnia tylko narzędzia. I nie jest w stanie nic poradzić na to, że ktoś zapisał swoje hasło admina do bazy danych na żółtej kartce i przykleił do monitora :-) – albo jak w tym wypadku postanowił się podzielić ze światem kluczem do API).

    W artykule jest obrazek przedstawiający portal USOSweb (wycinek USOS), ale znowu: to nie był wyciek danych przez portal USOSweb na UW. Bardziej adekwatnie byłoby wstawić tutaj screen z portalu MIM UW. Łączenie tego wszystkiego z USOS-em jest naprawdę mało fortunne.

    Odpowiedz
    • 2020.11.18 22:35 Amadeusz

      Z maila od władz uczelni i artykułu jasno wynika, że incydent jest poważny, za pomocą klucza można było pobierać kompletne dane osobowe, a analiza logów wskazuje, że ktoś nieuprawniony już raz to zrobił. Pisanie, że nic się nie stało, jest takim samym hiperbolizowaniem jak przytoczonej Rzeczypospolitej, tylko że w drugą stronę.

      Odpowiedz
      • 2020.11.19 17:31 Dariusz

        > za pomocą klucza można było pobierać kompletne
        > dane osobowe, a analiza logów wskazuje, że
        > ktoś nieuprawniony już raz to zrobił

        I to jest kluczowe.

        Uważam, że odpowiedzialni za wspomniane serwery MIMUW powinni dokładnie zbadać te logi by ustalić, kiedy i jakich konkretnie osób dane zostały pobrane.

        Następnie oczekuję opublicznienia liczby rekordów, które zostały pozyskane przez nieuprawnione osoby oraz poinformowania tych, których dane zostały pobrane, o tym fakcie.

        Odpowiedz
      • 2020.11.20 18:00 asdsad

        @Amadeusz, nie czaisz o co chodzi. Chodzi oto, że ktoś może stwierdzić, że USOS jest dziurawym rozwiązaniem, gdy tymczasem dziurę zrobił admin aplikacji, która jedynie łączyła się z USOS-em.

        Odpowiedz
    • 2020.11.18 22:41 user

      To admin instancji USOS nie wie do jakich endpointów i jakie uprawnienia ma dany klucz i czy nadal jest aktywny? Czy po prostu Pan jest developerem USOS, a nie adminem instancji na UW?

      Odpowiedz
  • 2020.11.19 01:39 Mirosław

    Już dawno należałoby zmienić ustawę „Prawo o szkolnictwie wyższym” w taki sposób, żeby uczelnie *NIE* przechowywały następujących danych:

    – zdjęcie: powinno być usunięte z baz uczelni po wydrukowaniu legitymacji (tak jako to robi warszawskie ZTM przy wyrabianiu karty miejskiej)

    – adres zamieszkania (to jest zupełnie niepotrzebne, wystarczy adres do korespondencji) – można przy przyjęciu zapytać o miejscowość pochodzenia i dodać do statystyk, bez powiązania ze studentem)

    Może ktoś z UW albo ministerstwa to czyta i pójdą po rozum do głowy?
    Na szczęście od niedawna już nie żądają kserokopii dowodu/paszportu. Czas najwyższy by zacząć minimalizować dane na poważnie.

    Odpowiedz
    • 2020.11.19 11:23 Szymon

      Adres zamieszkania stanowi podstawę przy przydzielaniu niektórych stypendiów i miejsc w domach studenckich więc tak czy inaczej w pewnych momentach musi on być obecny w systemie

      Odpowiedz
      • 2020.11.19 17:19 Dariusz

        No to jak trzeba to się go zażąda. Student niekorzystający ze wspomnianych świadczeń powinien móc nieujawniać tego adresu. To bardzo poufna informacja IMHO.

        Odpowiedz
      • 2020.11.19 19:42 Jakub

        @Szymon

        Należy zbierać tylko dane *niezbędne*. To, że dane „mogą być przydatne” albo nawet „są przydatne” nie wystarczy.
        Adres zamieszkania do studiowania potrzebny nie jest. Kto będzie chciał ubiegać się o miejsce w akademiku, ten wtedy może podać adres.

        Uważam, że ani uczelnie czy szkoły, ani państwo w ogóle nie powinno gromadzić baz danych z adresami zamieszkania, w zupełności wystarczy adres do korespondencji.

        Odpowiedz
  • 2020.11.19 08:26 Marcin

    Na stronie MIMUW komunikatu co prawda nie ma, ale cała wydziałowa społeczność otrzymała od dziekana następującego maila:

    Szanowni Państwo,
    Drogie Koleżanki i drodzy Koledzy,
    Drogie Doktorantki i Studentki, drodzy Doktoranci i Studenci:

    Piszę ten list przede wszystkim z przeprosinami, które należą się
    członkom naszej społeczności.

    Większość z Państwa dostała oficjalny komunikat o naruszeniu danych
    osobowych wskutek zdarzenia, jakie miało miejsce w portalu Wydziału
    MIM. Całe zdarzenie i jego możliwe negatywne następstwa, a także kroki
    już podjęte i środki, które może podjąć każdy, są w tym komunikacie
    opisane zgodnie z wymogami przepisów RODO. Incydent został zgłoszony
    do Urzędu Ochrony Danych Osobowych i do prokuratury.

    Oto krótki opis naruszenia: na serwerze www dostępny był (przez
    dłuższy czas) katalog z repozytorium kodu źródłowego, które zawierało
    dane studentów i pracowników MIM, a w niektórych przypadkach
    studentów Wydziału Prawa i Administracji i współpracowników
    Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było
    następstwem błędnych działań osób odpowiedzialnych za przygotowanie i
    konfigurację nowego serwisu mimuw.edu.pl. Repozytorium z danymi było
    ukryte; osoba nieuprawniona mogła uzyskać dostęp do niego tylko w
    wyniku wykonania określonych przeszukań i działań inwazyjnych, nie
    przez standardowe korzystanie z portalu. Chciałem wyraźnie podkreślić,
    że na żadnym etapie nie przełamano zabezpieczeń informatycznych
    systemów Wydziału MIM.

    Niestety, możliwymi konsekwencjami ewentualnego naruszenia danych
    osobowych mogą być nieuczciwe działania osób trzecich, wymienione w
    oficjalnym komunikacie.

    Incydent naruszenia jest wynikiem ludzkiego błędu; jest mi przykro i
    wstyd, że doszło do tego akurat w naszej społeczności, w czasie, gdy
    Wydział podlega formalnie i faktycznie mojemu nadzorowi. Pragnę
    zapewnić, że podjęliśmy kroki, aby natychmiast usunąć możliwość
    nieuprawnionego dostępu do danych, a także przeprowadzić wszechstronną
    analizę i audyt systemów informatycznych WMIM, tak, aby podobna
    sytuacja – żenująca wpadka – nie mogła powtórzyć się w przyszłości.

    Czuję się za ten incydent odpowiedzialny. Raz jeszcze wszystkich
    Państwa przepraszam.

    Paweł Strzelecki
    Dziekan MIM

    Odpowiedz
  • 2020.11.19 11:15 admin1

    Kolejny wyciek danych i zapewne nie ostatni. Nie ma idealnych zabezpieczeń. Tylko dlaczego karany jest jak zwykle przede wzystkim właściciel danych (ryzyko kradzieży tożsamości, konieczność wymiany dokumentów) oraz ich posiadacz (kara od UODO) a nie ten kto je bezprawnie wykorzysta (wyłudzający kredyt oraz bank który to akceptuje bo widzi tylko swój zysk) ???

    Czas na surowe karanie przestępców i banksterów za posługiwanie się cudzymi danymi a nie posiadaczy tycj danych.

    Odpowiedz
  • 2020.11.19 22:38 Abdul

    Patrząc na jakoś systemów produkowanych przez UW (patrz USOS lub IRK) jakoś nie dziwi fakt, że szambo wybiło; dziwić może że wybiło dopiero teraz :-D

    Odpowiedz
    • 2020.11.20 14:49 roch

      USOS to dość dobry system z wieloma funkcjami ogromnie ułatwiającymi studentom życie. Ma pewne wady, ale i tak jest sto razy lepszy niż różne „wirtualne dziekanaty” czy inne, zwykle pełne dziur i działające na nieaktualnym sofcie, pisane na kolanie przez słabych adminów, autorskie systemy informatyczne uczelni nieużywających USOS-a.

      Problem w tym, że większość uczelni czy wydziałów które z USOS-a korzystają, zrobiły to „bo dziekan kazał” albo „bo rektor kazał” i panie z dziekanatu traktują USOS jak zło konieczne. Ani myślą o wykorzystaniu go dla dobra studentów. Wyłączają moduły, które są w nim najlepsze – na przykład zaawansowaną rejestrację, każąc wszystkim studentom rejestrować się w trybie „kto pierwszy, ten lepszy”, co jest zaprzeczeniem idei USOS-a i w efekcie zmusza do wstrzelania się w rejestracje uruchamiane często o chorych godzinach.

      Poza tym wiele wydziałów dane na swojej stronie www aktualizuje, a dane w bazie USOS – nie. M.in. z powodu lenistwa pań w dziekanatach, rozkłady zajęć nadal są robione tabelkami w EXcelu, a w USOS-ie pustka (mimo że ma świetny interfejs do planów zajęć). Trochę winy jest też po stronie uczelnianych adminów, którzy stawiają raz instancję USOS-a, a potem niezbyt o nią dbają.

      Twórcy USOS-a nie mogą być obwiniani za to, że ktoś z ich oprogramowania korzysta niezgodnie z założeniami, że go nie aktualizuje, że nie napełnia go wartościowymi danymi etc.

      Odpowiedz
    • 2020.11.25 15:34 Sakme

      Wiem, że wielu studentów UW ma takie przeświadczenie, ale USOS nie jest robiony przez UW, tylko na UW. USOS-em zajmuje się zrzeszenie bodaj 70 uczelni w Polsce, a BTW. główna siedziba tego stowarzyszenia jest w Poznaniu. Info znalazło się nawet na wikipedii.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek danych studentów, pracowników i współpracowników Uniwersytetu Warszawskiego

Komentarze