15:13
29/4/2020

Dwie duże, powiązane ze sobą uczelnie prywatne padły ofiarą ataku, w ramach którego zaszyfrowano dane na serwerach, prawdopodobnie także na tych z danymi zapasowymi. Trwa ocenianie strat. Rzeczniczka jednej z uczelni powiedziała nam, że na razie nic nie sugeruje, by dane opuściły miejsce swojego przetwarzania.

W Niebezpieczniku od dawna piszemy o bezpieczeństwie danych na uczelniach, a właściwie o niebezpieczeństwie. Często podkreślamy, że są to ogromne instytucje z bogatą historią, a to oznacza jednoczesne przetwarzanie danych w kilku systemach, które najczęściej są ze sobą niespójne. Na tym jednak problemy się nie kończą, bo uczelnie na całym świecie nierzadko są ofiarami ataków (np ransomware’u) i niestety polskie uczelnie nie są od tego zagrożenia wolne. Najnowszym tego dowodem jest problem, który wystąpił na Collegium Da Vinci i nastepnie na SWPS.

SWPS: Dane mogą zostać utracone

Uniwersytet SWPS przedstawia sam siebie jako “pierwszy prywatny uniwersystet w Polsce”, który łączy działalność dydaktyczną i badawczą. Ma 5 kampusów, 8 wydziałów i studiuje na nim ponad 17 tys. ludzi. Ta właśnie uczelnia rozesłała dziś po godzinie 12:00 tę wiadomość do studentów.

Treść wiadomości (z naszymi pogrubieniami)

Szanowni Państwo,
Drogie Studentki, Drodzy Studenci,

przepraszamy za wszelkie niedogodności związane z brakiem dostępu do systemów informatycznych Uczelni. Awaria z 23 kwietnia była wynikiem zewnętrznej ingerencji w infrastrukturę sieciową Collegium Da Vinci, poprzez którą uzyskano również dostęp do sieci Uniwersytetu SWPS. Atak spowodował zaszyfrowanie wybranych serwerów w celu sparaliżowania działalności uczelni i uzyskaniu okupu w zamian za odblokowanie serwerów.

Niezwłocznie rozpoczęliśmy naprawę systemów IT. W ciągu 24 godzin umożliwiliśmy logowanie do Wirtualnej Uczelni. Kontynuujemy prace nad przywróceniem dostępów do kolejnych systemów. Wszystkie systemy, w tym platforma Learn Online (moodle) zostaną przywrócone do 4 maja.

Systemy działające w chmurze, takie jak Google czy Sona nie zostały dotknięte awarią.

Niestety z uwagi na fakt, że zaszyfrowane zostały także serwery backupowe, istnieje prawdopodobieństwo, że część danych na platformie Learn Online i na dyskach sieciowych została utracona. Po przerwie majowej zostanie podany konkretny zakres utraconych danych. W najgorszym przypadku dotyczy to danych z okresu od początku marca do 22 kwietnia.

Takie stanowisko sugeruje, że uczelnia nie zapłaci okupu.

We wiadomości wspominano o wcześniej awarii z 23 kwietnia, kiedy to rzeczywiście awarię zaliczyła strona Collegium Da Vinci. Tutaj wyjaśnijmy, że Collegium Da Vinci (CDV) to poznańska uczelnia oferująca studia I i II stopnia oraz podyplomowe. SWPS i CDV mają wspólnego założyciela (jest nim Piotr Voelkel) i ściśle ze sobą współpracują w zakresie działalności naukowej, badawczej i dydaktywnej.

Komunikat na ten temat wyświetla się na stronie uczelni.

Treść komunikatu:

Szanowni Państwo,

w związku z ostatnią awarią, w trosce o bezpieczeństwo Państwa danych, nastąpił reset wszystkich haseł do kont CDV.
Aby odzyskać dostęp do konta należy skorzystać z opcji > NIE PAMIĘTAM HASŁA. Proszę pamiętać, że nowe hasło zostanie wysłane do Państwa na prywatny adres e-mail zapisany w bazach danych CDV TYLKO w przypadku problemów z samodzielnym resetem prosimy o wiadomość na adres it@cdv.pl. W treści wiadomości proszę podać adres poczty uczelnianej oraz 3 ostatnie cyfry numeru PESEL. Po poprawnej weryfikacji otrzymają Państwo zwrotnie nowe hasło do konta.

Pozdrawiamy,
Zespół IT Collegium Da Vinci

Co ciekawe, z jakiegoś powodu zamknięte zostało także konto uczelni na Instagramie.

Dla ścisłości – awaria z 23 kwietnia była wynikiem zewnętrznej ingerencji w infrastrukturę sieciową Collegium Da Vinci, a przez nią uzyskano również dostęp do sieci Uniwersytetu SWPS.

CDV: Nie stwierdzono wycieku danych

Obie uczelnie poprosiliśmy o komentarz w tej sprawie. Jak dotąd odpowiedzi przesłała nam Agata Skibicka, z-ca Dyrektora Marketingu z CDV. Wynika z nich, że nie stwierdzono wycieku danych, ale sprawa została zgłoszona do UODO (pamiętajmy, że naruszenie integralności danych to też naruszenie w rozumieniu RODO).

Poniżej pełny komentarz.

W dniu 23 kwietnia doszło do awarii technicznej, skutkującej utrudnieniami w dostępie do systemów uczelnianych. Jak udało nam się ustalić, było to celowe działanie, w wyniku którego nastąpił nieautoryzowany dostęp do naszych serwerów i zasobów. Celem włamania było zaszyfrowanie maszyn oraz żądanie okupu w zamian za ich odblokowanie.

W związku z zaistniałą sytuacją niezwłocznie uruchomiliśmy procedury bezpieczeństwa
i podjęliśmy działania niezbędne do przywrócenia dostępu do zasobów. Jednym ze standardowych działań w takich przypadkach był reset haseł wszystkich użytkowników (szczegółowa instrukcja została opisana na Wirtualnej Uczelni).

Skoncentrowaliśmy prace przede wszystkim na odtworzeniu systemów i zasobów z kopii zapasowych. Bardzo szybko przywróciliśmy możliwość logowania do Wirtualnej Uczelni i systemów niezbędnych do realizacji zajęć i obsługi toku studiów. Dziś wszystkie narzędzia i systemy odzyskały swoją pełną funkcjonalność.

W wyniku analizy danych pochodzących z nieobjętych włamaniem systemów monitoringu
i bezpieczeństwa sieci, nie stwierdzono, że dane osobowe opuściły miejsce ich przetwarzania. Ta kwestia była dla nas priorytetowa i stanowiła najważniejszy przedmiot analiz, jest ona nadal szczegółowo badana przez zewnętrznych ekspertów.

Zgodnie z prawem zawiadomiliśmy o włamaniu organy ścigania oraz Urząd Ochrony Danych Osobowych. W trybie natychmiastowym przystąpiliśmy do ponownego przeglądu bezpieczeństwa systemu uczelni i powiązanej infrastruktury informatycznej oraz zabezpieczenia dowodów w sprawie działania osób trzecich.

Bardzo poważnie traktujemy sytuację i weryfikujemy szczegółowe przyczyny zdarzenia, w czym pomaga nam specjalnie powołany zespół zewnętrznych ekspertów specjalizujących się
w zabezpieczeniach przed atakami i włamaniami.

Przepraszamy za utrudnienia w dostępie do systemów informatycznych Uczelni.

Czekamy na odpowiedź SWPS.

Ransomware to RODOwy problem

Szczególnie interesujące byłoby ustalenie jaki ransomware mógł je zaatakować (spytaliśmy o to SWPS i liczymy na informację). Wiadomo bowiem, że niektórzy operatorzy ransomware nie tylko domagają się okupu, ale również przejmują dane i grożą ich ujawnieniem (por. Atak ransomware == wyciek danych. Dlaczego tak trzeba o tym myśleć?). Zapewne jeszcze będziemy do tej sprawy wracać.

Aktualizacja 30.04.2020 8:34

Uniwersytet SWPS również odpowiedział na nasze pytania.

1. Czy istnieje możliwość ujawnienia jakie oprogramowanie zaatakowało SWPS?

Atakujący do zaszyfrowania użył MS Bitlocker oraz Jetico Bestcrypt.

2. Czy mogło dojść do ujawnienia danych studentów lub naruszenia ich integralności?

Analiza działań włamywaczy w naszej sieci oraz ruchu między siecią uczelni i internetem nie wykazała aby została naruszona poufność danych osobowych. Celem ataku było pozyskanie okupu, a nie kradzież danych. Obecnie zdarzenie jest audytowane przez zewnętrzną firmę. W przypadku gdyby w wyniku audytu okazało się, że poufność danych została naruszona, zgodnie z prawem będziemy informować o tym osoby, których te dane dotyczą. Uczelnia zawiadomiła o incydencie Prezesa UODO, organy ścigania oraz inne instytucje, które mogą pomóc w wyjaśnieniu wszystkich okoliczności i skutków zdarzenia.

3. Czy przestępcy jedynie zażądali okupu czy też zagrozili dodatkowo ujawnieniem danych?

Przestępcy zażądali okupu jedynie za przesłanie kluczy do odszyfrowania danych. Nie prowadzili z nami żadnych negocjacji w sprawie danych osobowych.

W tekście doprecyzowano kolejność zdarzeń tak by było jasne, że awaria z 23 kwietnia była wynikiem zewnętrznej ingerencji w infrastrukturę sieciową Collegium Da Vinci, a przez nią uzyskano również dostęp do sieci Uniwersytetu SWPS.

Przeczytaj także:



27 komentarzy

Dodaj komentarz
  1. Ciekawe czy na serwerze przechowywano numer PESEL, nr dowodu i date wazonosci?

  2. Żadna uczelnia nie ma powodu do przechowywania i przetwarzania daty ważności dowodu osobistego. Nr dowodu może być przetwarzany w ramach umowy. O numerze PESEL, to się już tu rozpisano kilometrami.

  3. Dopiero co się u nich rejestrowałem na kurs. Jeszcze dopytywałem o PESEL – czy koniecznie muszę go podawać. Twierdzili, że tak (kwestia klauzuli, że nie przekażę materiałów z kursu osobom innym).
    Jestem przekonany, ze mój PESEL figuruje w ich bazie.

    • Dlatego ja podczas ostatniego zapisu na kurs co ciekawe “cyberbezpieczeństwo” nie podałem prawdziwych danych osobowych (nigdzie nie podaję prawdziwych jeśli nie muszę).

  4. Uwielbiam stwierdzenia typu “W wyniku analizy danych pochodzących z nieobjętych włamaniem systemów monitoringu
    i bezpieczeństwa sieci, nie stwierdzono, że dane osobowe opuściły miejsce ich przetwarzania.”
    Ciekawe jak ta analiza wyglądała ;)

    • Prawda? Też się nad tym zastanawiam. Myślę, że zajrzeli i zobaczyli albo zawołali “dane, jesteście?”. Nie wiem w jakim stopniu zażyłości są z danymi, może zwracali się do danych “szanowne/wielomożne dane”, a dane potwierdziły że są, więc nie opuściły swojego miejsca, gdzie się przetwarzają, ewentualnie wyskoczyły na chwilę, ale wróciły. Na pewno będzie miało to kluczowe znaczenie :D

    • Też uwielbiam takie mambo-jumbo. Oświadczenie które nie mówi czy dane wyciekły czy nie.
      Mówi tylko, że ci sami admini którzy doprowadzili do zaszyfrowania serwów, nic nie zobaczyli… Ja też nic nie widziałem, żaden z czytelników nic nie widział, więc raczej nic nie wyciekło…

    • Nie no, to oświadczenie mówi. Danych nie utracili (w sensie nie skasowano) ale też nie mówi czy ktoś te dane skopiował. Mają tam złotoustych.

  5. Co sądzicie o zapisywaniu kontaktów w Google?

    • Ta uczelnia bardzo często nie mówi rzeczy wprost, a potem okazuje się ze to dlatego, że wstyd było się przyznać. Równie dobrze dane mogły sobie wypłynąc, tylko taka informacja by zepsuła im reputację

  6. Małe straty. Uczelnie produkująca samych bezrobotnych i nierobów, ale za to z wielkim mniemaniem o sobie i swoim papierku.
    Ciekawe czy Collegium Da Vinci zatrudniało jako adminów swoich absolwentów?

    • Widzę frustrat. :)
      Znam absolwenta uczelni. Kompetentny specjalista IT, bardzo przyjazny, zarabia wielokrotność średniej aktualnie. Raczej dla papieru tam był.

    • Nie frustrat, tylko (prawie) dobrze pisze. W IT to faktycznie często lepiej zrobić studia, tak samo jako prawnik czy lekarz i jeszcze kilka tego typu zawodów, Ale jest bardzo wiele kierunków, które kształcą do pracy chyba tylko naukowej w tym kierunku, z racji na brak odpowiedniego przemysłu w Polsce. Nie chodzi o jakieś “religioznawstwo”, ale gdzie ma pracować np absolwent fizyki jako fizyk jak nie na uczelni czy w szkole? Są pojedyncze firmy, które tworzą jakieś sensory do samochodów np czy szkła do soczewek ale ilu fizyków rocznie one potrzebują? A tak to nawet absolwenci STEM muszą się prekwalifikowywać i stawać się np “data scientistami” czy coś takiego.

    • @bgilc tych uczelni czy jakiś innych?

      @Karol przejrzałem czego uczą i od razu widać, że bezrobotnych. Poza tym, te tzw, uczelnie nie są nawet klasyfikowane jako coś warte.

  7. Nie możesz powiedzieć, że nie było wycieku, jeśli był, Bo w przypadku kontroli, a jest to bardzo prawdopodobne, wyjdzie, że skłamałeś i w tedy wysokość kary mocno wzrasta, a do tego będziesz miał postawione zarzuty prokuratorskie.

  8. Większość polskich uczelni jest podatnych na ataki slowlories.

  9. O ironio, a wiecie, że Collegium Da Vinci organizuje poważnie brzmiące szkolenie z zakresu Cyber Security za gruby hajs?

    • Oni wielu rzeczy ucza, których sami nie praktykują tak naprawdę. Wystarczy spojrzeć na rodzinne powiązania między wykładowcami i zastanowić się czy w każdej rodzinie aby na pewno jest po 15 osób o kompetencjach pozwalających na wykładanie na uczelni czy może jednak powodem ich zatrudnienia było co innego

    • Nie ma tutaj sprzeczności, bo osoba która tego uczy raczej nie będzie pracować jako admin na uczelni tylko jako “naukowiec” i nie będzie na codzień zajmować się administracją serwerów tak w uczelni własnej, czy w jakiejś firmie. Tak samo jak inżynier od motoryzacji na politechnice raczej nie będzie jeździł zaprojektowanym przez siebie samochodem ani technolog żywności nie ma nic do powiedzienia na temat składu jedzonego przez siebie wafelka.

    • Gdzie niby są 15osobowe klany rodzinne na uczelniach? To chyba taka “urban legend”. Oczywiście coś jest na rzeczy, bo konkursy na “techniczne” stanowiska to takie prawdziwe “konkursy” nie są, ale nie zatrudnia się tam znajomych z życia prywatnego i rodzinę, a np propozycje pracy na takie stanowisko (choć formalnie trzeba wygrać konkurs) dostają raczej jacyś studenci z samorządu studenckiego, albo podopieczny któregoś profesora, dla którego nie starczyło etatu naukowego.

    • Zdziwisz się, bo na CDV rodzinne klany i znajomosci są powszechne, wśród studentów tez są członkowie rodzin wykładających, którzy jeszcze nie skończyli studiów, a już maja obiecane posady. Być może na publicznych uczelniach te konkursy wyglądają tak, jak z założenia powinny wyglądać, ale niestety nie na niepublicznym CDV

  10. Nie dostałam od uczelni takiego maila. Studiuję na Swps-ie…

  11. Hej,

    Wiele osób często pisze, że “Hahaha uczelnia X prowadzi Cyber Security a się nie zabezpieczyli”.

    Praktycznie jednak, na uczelni za 20k albo za 300 za h może wykładać dobry specjalista ds. bezpieczeństwa, albo nawet kilku wyspecjalizowanych w poszczególnych aspektach. ALE nie mają oni nic związku z bezpieczeństwem IT Uczelni jako takiej, gdzie za admina IT płaci się często 3k.

    Jest do bezsensowna polityka, ale minimalizacja kosztów na uczelniach wyższych działa już od dawna. Jest wiele jednostek naukowych, gdzie nawet ludzie by to zrobili lepiej ale pracują po 7 dni w tygodniu (mówię o ludziach przed profesurą, przed 50), zajęcia w weekendy a uczelnia ZA DARMO chce żeby np. postawili stronę konferencji (bo oczywiście budżet = 0zł), albo sami zarządzali swoją infrastrukturą do badań. I jest tak prawie w każdej uczelni w PL.

  12. Pewnie przypadek ale niesmak pozostał… :)
    Skończyłem tam studia w zeszłym roku. Wczoraj, na maila który według haveibeenpwned nigdzie nie wyciekł (no ale wiadomo, nie znaczy to wiele), przyszły linki rejestracyjne z różnych gier przeglądarkowych i mobilnych.

    • Zapomniałem zaznaczyć – tak, tego maila używałem do komunikacji z uczelnią.

  13. […] jest to dalszy ciąg jakiejś czarnej serii problemów uczelni wyższych. Niedawno informowaliśmy o ataku na Collegium Da Vinci i SWPS, skąd dane podobno nie wyciekły, ale mogą zostać utracone. Wypada odnotować, że mimo wszystko […]

  14. Takie coś w trakcie sesji mogli zrobić a nie

Odpowiadasz na komentarz Lucjan

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: