17:00
1/7/2020

Mówią, że nieszczęścia chodzą parami… W przypadku Politechniki Warszawskiej, to są pary parzyste dobrane w pary i podniesione do potęgi chyba. Uczelnia po raz kolejny poinformowała studentów o wycieku ich danych. Nowym wycieku.

Nie zbudowali wyższego poziomu bezpieczeństwa

Tym razem dane poleciały z Wydziału Architektury i dotyczyły systemu Rekrutacja, czyli aplikacji na studia. Ujawnione identyfikatory to:

    PESEL
    Imię i nazwisko

Jest więc o niebo “lepiej” niż w przypadku poprzednich wycieków. Oto treść pełnego oświadczenia, jakie widzą kandydaci na studia (ale dopiero po zalogowaniu na zapisy.pw.edu.pl/. Wiadomość nie została (jeszcze?) wedle naszej wiedzy rozesłana do ofiar e-mailem:

Swoją drogą, cóż za cudowny początek przygody z nową Alma Mater. Na dzień dobry Twoje dane wyciekają… Wydział Architektury nie zbudował zaufania.

Poprzedni wyciek dotyczył wszystkich

Przypomnijmy, że 2 miesiące temu informowaliśmy o potężnym wycieku danych studentów (z wielu roczników). Informator, który przekazał nam informacje o błędach w infrastrukturze Politechniki Warszawskiej twierdził i pokazywał wiarygodne dowody na to, że po systemach Politechniki buszował od pół roku. Choć baza zawierała ogrom danych, to nie każdy student stracił komplet informacji, jakie z mocy prawa zobowiązany jest przekazać uczelni. Niektórzy jednak potracili dane o rodzicach a nawet informacje o dokumentach tożsamości. Ponieważ rzeczniczka uczelni, która sama niezbyt precyzyjnie opisywała skalę problemu, krytykowała naszą publikację, włamywacz odezwał się jeszcze raz i podmienił stronę kolejnego systemu Politechniki Warszawskiej. Koniec końców, PUODO ruszył z kontrolą.

Nie mamy informacji, czy obecny wyciek jest powiązany z serią poprzednich udanych ataków na Politechnikę Warszawską. Równie dobrze, mógł to być błąd pracownika naukowego lub technicznego, który zły plik umieścił w części publicznie dostępnej lub kliknął nie tam gdzie trzeba i “dane wyciekły same”. Systemy uczelniane są znane z tego, że nie są zbyt dobrze napisane i czasem klikając w coś, wydaje nam się że system zrobi jedno, a robi drugie.

PS. Dane wyciekają. Nie tylko z systemów uczelnianych. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem ZHACKOWANAPW, tylko do końca weekendu obejrzysz go w cenie 79 PLN zamiast standardowych 129 PLN.

Przeczytaj także:



14 komentarzy

Dodaj komentarz
  1. Dane “wyciekly” przez ich *opublikowanie*… Co bedzie nastepne?

    Ludzie beda ginac w wypadkach polegajacych na “nadzianiu sie na lecące kule”?
    Ortalionowy rycerz potknie sie i starajac utrzymac rownowage przypadkiem wbijac komus noz w plecy… 14 razy?

    Czy ci ludzie nie rozumieja, jak bardzo takie zaklamywanie rzeczywistosci potrafi korumpowac? (samych przeklamujacych tez)

  2. Naprawdę straszne jest to, że mamy prawo dopuszczające by ktoś mający takie dane jak nasze imię nazwisko i PESEL był w stanie nam zaszkodzić. Te dane naprawdę nie jest trudno zdobyć. Wystarczy stanąć w kolejce na poczcie lub w urzędzie ze schowaną w ubraniu kamerką kupioną na Aliexpress lub Banggoodzie, a potem przejrzeć zapis (podobnie można w kolejce do kasy w markecie pozyskać dane kart kredytowych łącznie z CCV, ciekawe zresztą co rejestrują kamery umieszczone nad kasami).
    W dzisiejszych czasach możemy chyba wymagać skuteczniejszych mechanizmów autoryzacji obywatel niż znajomość tych danych?
    Czemu w Polsce ciągle musimy mieć średniowiecze?

    • Dlatego kartę trzeba mieć najpierw w osłonce przepuszczającej RFID, a dopiero potem w nieprzepuszczającej RFID – wyjmujesz z jednej, ale zostawiasz w drugiej :D
      + na wszelki wypadek: wydrapanie CVV2 i numeru (jeśli płaska)

    • Kamerki nad kasami mają albo rozdzielczość VGA albo taką ostrość i kontrast, że o dane swojej karty nie musisz się martwić. Na nagraniu z kamery ciężko wywnioskować czy klient otrzymał paczkę papierosów czy nie, a ty chcesz tam numer karty i CCV zobaczyć? ;D Pracowałem w Polomarkecie oraz Piotrze i Pawle, w obu jakość monitoringu była żenująca. Policja rozpoznawała złodziei po sposobie chodu a nie po twarzach, które były nie do rozpoznania. Dodatkowo te 13 lat temu Polomarket miał mikrofony na kasach żeby kontrolować to czy kasjer wypowiada pełną formułkę. Dziś rejestrowanie głosu i wypowiedzi (zwłaszcza klientów) byłoby nie do pomyślenia.

    • Bo Polaki to robaki dla władzy. Przyzwyczajaj się do tego.

    • A i tu ciekawostka, bo kiedyś miła Pani w pewnym sklepie niemieckiej sieci na L ;), pouczyła mnie, że mam nie przesuwać terminala od kart bo ta zasłonka plastikowa nad klawiaturą jest właśnie po to, aby kamera nie rejestrowała, “widział” PIN. Nie wiem ile w tym prawdy.

    • Z kamerkami nawet nie trzeba się kryć. Jeżdżę rowerem z przypiętą do plecaka, jeszcze nikt mi w żadnym sklepie nie zwrócił uwagi.

      Inna kwestia czy jakość nagrania pozwala na odczytanie danych z karty czy dowodu. Mimo wszystko obecnie są trochę większe odstępy w kolejkach, a rozdzielczość kamerek nie jest nieskończona. Dodatkowo obiektyw szerokokątny, no i jakość kompresji, która w tańszych konstrukcjach jest po prostu kiepska.

    • Przynajmniej mamy trening – przygotowanie do tego co sie stanie po tym jak “geniusze” z hameryki zabronia szyfrowania: informacje publicznie dostepne (bo enkrypcja jest be) uznawane jako tajne a wszystkie ewentualne problemy z tego wynikajace spychane na ofiary…

    • @asdsad: taka ingerencja w kartę czyni ją nieważną i sklep ma wówczas prawo ją zatrzymać. Polecam przeglądnąć przepisy organizacji kartowych, a dopiero później się wypowiadać, bo kto odpowie za Twoją szkodliwą poradę?

  3. CzemuŚredniowiecze zdecydowanie popieram Twój komentarz. Problem nie tkwi w tym, że dane wyciekają. Problemem jest fakt, że to JA mam chronić swój PESEL i ponosić wszelkie konsekwencje związane z jego kradzieżą, a nie instytucja, która w kulawy sposób autoryzje moją tożsamość.

    • Też tak uważam.
      Dziwne, że żyjąc w XXI wieku (20 lat :P) nadal mamy z tym problem.

    • To troche jak byś miał trzymać w domu słonia tak, aby sasiedzi się nie dowiedzieli… Co jak co, ale pesel do “chronienia” się absolutnie nie nadaje, powstał z innych przyczyn, to tylko żałosne prawo pozwala tym peselem znaczaco podnieść skucztecnośc oszustów.

  4. Fajnie, ze podpisał się jakiś bezosobowy “Administrator (danych osobowych)”, a nie żywy człowiek z imienia i nazwiska…

    • tzw. “Wisienka na Torcie” xD

      Najsmieszniejsze ze najbardziej winni, takich drobiazgow to juz nawet nie widza…

Odpowiadasz na komentarz Mrk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: