9:46
5/4/2017

Jak informuje nas jeden z czytelników, na e-maile studentów Uniwersytetu SWPS spływają coraz to nowe, niechciane wiadomości. Część zabawna, część straszna. Powód?

Ktos pomylil pola CC i BCC ukazujac studentom alias do wysylki masowej.
Ten adres to stud-pol@swps.edu.pl
Sa juz rejestracje na [ten e-mail] na RedTube, PizzaPortal, Wiocha itp.
Studenci odpisuja i nakrecaja lawine. To kilkanascie tysiecy osob w Polsce.

Nam jednak najbardziej podobał się ten żart:

Co na to uczelnia? Będzie ścigać żartownisiów przez policję. Władze uczelni przesłały do studentów następujące pismo:

Szanowni Państwo,

pilnie informujemy, że w wyniku celowego działania jednego ze studentów
Uniwersytetu SWPS, grupa dyskusyjna stud-pol@swps.edu.pl została
zarejestrowana na kilku portalach. W rezultacie członkowie grupy
otrzymali wiadomości powszechnie uznawane za spam. Grupa
stud-pol@swps.edu.pl została zablokowana, a incydent jest skierowany do
organów ścigania w celu zidentyfikowania sprawcy.

Zapewniamy, że żadne imienne adresy pojedynczych studentów nie zostały
udostępnione na zewnątrz uczelni ani zarejestrowane na te adresy konta w
zewnętrznych serwisach – nie doszło do ich wycieku. Mailing skierowany
był wyłącznie na adres stud-pol@swps.edu.pl a dystrybucja wiadomości
odbywa się niejawnie po stronie Google Suite for Education. Podkreślamy,
że zaistniały problem dotyczył wyłącznie zbiorczego adresu a nie
indywidualnych adresów w domenie st.swps.edu.pl.

Ustalenie przyczyn zaistniałej sytuacji jest tylko kwestią czasu. Wśród
wszystkich grup dyskusyjnych skonfigurowanych w Uniwersytecie SWPS grupa
stud-pol@swps.edu.pl jako jedyna posiadała możliwość wymiany informacji
pomiędzy użytkownikami z grupy. We wszystkich pozostałych grupach
jedynie wskazany właściciel jest uprawniony do wysyłki i jest to
domyślny schemat uprawnień. Wszystkie operacje są logowane po stronie
Google Suite, a dostawcy usługi bardzo sprawnie współpracują przy
ustalaniu przyczyn tego rodzaju incydentów.

Przepraszamy za zaistniałą sytuację i niepokój, który wzbudziła.

Na wszelkie Państwa pytania chętnie udzieli odpowiedzi Dział IT
(pomoc@swps.edu.pl).

Z wyrazami szacunku,
Dział IT

Podsumowując – pamiętajcie, aby zablokować aliasy (grupy) e-mailowe na dystrybucje treści przesyłanych przez osoby spoza waszej organizacji.

P.S. Nie dalej jak wczoraj informowaliśmy o podobnej pomyłce, z tym że w przypadku kancelarii prawnej. Różnica jest taka — że kancelaria LSW ujawniła listę swoich klientów, zazwyczaj osób decyzyjnych w znanych firmach.

Aktualizacja 20:04
Jeśli chcecie znać “statystyki” odpowiedzi na e-mail o skreśleniu z listy studentów, to weszliśmy w ich posiadanie:

Odpisalo na niego przeszło 200 osób. Większość z nich to osoby, które wysyłały potwierdzenia przelewów za czesne, prosili o wyjaśnienia. Jednak byli też tacy którzy na prawdę nie zapłacili za studia i prosili o przedłużenie terminu. Kilka osób wyłapało żart.
Na początku nawet nie zdawałem sobie sprawy jak duży zasięg był tych mejli co skłoniło mnie do refleksji jak łatwo – przez zaniedbania administratorów it swps – można było oszukać studentów. Przecież jakiś oszust mógłby z łatwością wysłać wiadomość o zmianie rachunku do wpłat czy wykonać inny zmyślny atak. Po kilku mejlach zwrotnych ustawiłem autoresponder który informuje o “żarcie” i zaniedbaniach uczelni, za którą, nawiasem mówiąc płacą…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. >zostawiaj oczywiste luki bezpieczeństwa
    >ścigaj tych, którzy je wytykają

    • No co, tak to działa w Polsce ;)

    • Wytykanie to jedno, szkodzenie to drugie.

      Mam nadzieje, że będzie kara.

    • Z opisu maila wychodzi ze ta osoba nie wytknela bledu tylko go wykozystala, to jak by ktos zostawil otwarde drzwi od domu i Ty bys zabral mu ze stolu portfel zeby mu pokazac ze powinien zamykac drzwi. Glupota.

    • Nie było ŻADNEJ kradzieży, nie było ŻADNEJ szkody. Jeśli uważacie inaczej, to proszę o szacunkową wartość szkód. \eot

  2. Michalina Proteinowa, to wykopki narozrabiały.

    dobry żart, mam nadzieję, że nikogo nie złapią, a konsekwencje poniesie pracownik, który nie myślał.

    • Nie myślała cała uczelnia i ona powinna ponieść konsekwencje (jej pracownicy, zarządzający). Pierwszy fail, to nieadekwatny cel przetwarzania danych osobowych (imion, nazwisk, może i roku urodzenia) poza Polską, w momencie gdy istnieją płatne hostingi e-mail w Polsce.

  3. Jaki jest niby paragraf na pisanie takich śmieszkowych spamowych wiadomości? Bo nie rozumiem “incydent został skierowany do organów ścigania”. To wina administratora, że nie zablokował takiej możliwości, rozumiem że go będą ścigać…

  4. “incydent jest skierowany do organów ścigania w celu zidentyfikowania sprawcy.”

    Z jakiego paragrafu chcą to ścigać?

    • Znalazłem jeden paragraf dotyczący niechcianych maili – grozi za to mandat karny:

      “Zgodnie z art. 24 § 1 Kodeksu wykroczeń grzywnę wymierza się w wysokości od 20 do 5000 zł.”

    • @Pawel
      Ale ten koleś przecież nie wysłał niechcianej poczty. On tylko wysłał jeden mail na normalną legalną skrzynkę. SPAMu się dopuścił system pocztowy uczelni :D

  5. W Mailmanie wycięcie ruchu spoza listy to jedna opcja konfiguracyjna do zaptaszenia :)

  6. Z paragrafu zranionej dumy.

  7. Czyli adresy wszystkich studentów zostały sprzedane “Google Suite for Education”. GOOGLE! Czy na prawdę adekwatnym celem administratora danych jest przekazanie adresów Amerykańskiemu GOOGLE tylko w celu kontaktu ze studentami? Nie mamy polskich serwisów? Czy GIODO tu zadziała?

    • Na SWPS, jak i na wielu innych uczelniach dostajesz maila od uczelni, co jest zaznaczone w tekście
      Także prywatne maile nie zostały wysłane

    • marne to bedzie pocieszenie, ale zagraniczne uniwersytety europejskie (jeszcze europejskie bo moj przyklad jest z UK) robia podobnie – mieli swoje unwersyteckie domeny i zamienili je na gmaila. Dziala toto (gmail) sto razy gorzej, ale za to dane zostaly podarowane (przeciez nawet nie sprzedane, bo jeszcze pewnie za to zaplacili) guglowi… :rozpacz:

    • Ależ coż takiego strasznego stoi na przeszkodze, żebyś założył(a) własną firmę świadczącą takie usługi, z serwerownią w Polsce, administrowaną przez Polaków i zaoferował(a) swoje usługi uczelniom?

    • Nie, jeśli nikt nie odezwie się do GIODO :)

    • Może dla tego, że Google Suite for Education jest darmowe?
      Jest to krótkowzroczne, ale czego sie spodziewać.

    • Z perspektywy danych osobowych to wszystko zależy od umowy uczelni z Google – umowa przewiduje, w jakim datacenter przechowywane są dane, a wzór umowy nie zezwala guglowi na użycie danych wprowadzonych do systemu do celów reklamowych, chyba, że użytkownik zacznie korzystać na uczelnianym koncie z G+ czy Youtube’a (no wtedy odpowiednie dane są udostępniane usłudze zgodnie z jej regulaminem). Z punktu widzenia bezpieczeństwa danych zatem GApps jest na pewno milion razy sensowniejszym rozwiązaniem, niż konto googlowe poza usługą, gdzie gugiel zastrzega sobie prawo do wszystkich danych usera.

    • A imiona i nazwiska tych studentów to nie dane osobowe? Czy GOOGLE ich nie dostało?

    • Podpowiem Wam jeszcze, że z przeprowadzonych testów na fałszywe CV rozsyłane po firmach – aż 80% uzyskanych zaproszeń na rozmowę kwalifikacyjną zawierało nagłówki GOOGLE.COM, GOOGLEMAIL.COM oraz OUTLOOK.COM. Wszystkie adresy wyglądały na firmowe/korporacyjne. Tak więc dane osobowe wraz ze szczegółami Waszej historii też są obecnie “podarowywane” GOOGLE lub M$. Napisze ktoś może skarge do GIODO, a później o ich niewydolność czasową – skargi na przewlekłość postępowania?

    • otwórz oczy, illuminati są wśród nas

  8. Nie mogą po prostu zmienić aliasu a ten usunąć? Wydaje się najprostszym rozwiązaniem…

    • Po co, niech im kolejna Michalina Proteinowa, Protonowa lub Neutronowa roześle kolejne smutne wiadomości, skoro adres już jest publiczny i takim pozostanie na zawsze, jak wszystko co umieszczono w internecie.

  9. Toż to uczelnia jest, wyższa w zasadzie! Czy oni nie potrafią sami wyłapać kto to zrobił? Po za tym zgadzam się z jednym z powyższych komentarzy, odpowiedzialnym zaistniałej sytuacji jest pracownik, który się pomylił! A jakiś student, cóż, jak to studenci zrobił psikusa! Ale żeby tak od razu na policję? Ech… Dziwna ta szkoła, która nie dba o swoich uczniów…

    • Nie ma fizycznej możliwości znalezienia kto używał tego maila do robienia żartów. Można co najwyżej próbować wyśledzić osobę która napisała maila ze skreśleniem albo próbować zdobyć sądowy nakaz podania danych osoby która zarejestrowała konto na redtube (takich rzeczy i tak nie wydają za spam) ale znając życie to pokaże nam adres IP akademików :D

      Strony typu pizzaportal zbierają też coś w stylu podpisu urządzenia ale tu w praktyce wystarczy przeinstalować sterowniki do karty graficznej.

      Nawet MAC nam da wielkie G bo można go zmienić w 30 sekund.

      Podsumowując jeśli osoba nie jest idiotą i nie wysłała maila ze “skreśleniem z listy studentów” ze swojego prywatnego maila to na prawdę niewiele można zrobić (biorąc pod uwagę szkodliwość czynu)

    • > Strony typu pizzaportal zbierają też coś w stylu podpisu urządzenia
      Niby z jakiej racji miałyby do tego dostęp, jak przeglądarka nie udostępnia takiego API? Strona dostanie tylko nagłówki pakietu źródła + to, co dostanie od przeglądarki usera i nic więcej. Do identyfikatora urządzenia dostęp mają aplikacje UWP, ale nie strony internetowe.

    • Jak by te studia coś znaczyły, to każdy musiał by się logować do sieci i byłoby to do wyśledzenia. A jak każdy mOże sobie wejść jak nigdy nic to co się dziwić. I znów potwierdza się przysłowie, że jak się samemu nie pomyśli, to się zwala winę na tego który pomyśli :D

  10. W podstawówce na informatyce mieliśmy taki alias do wszystkich, też było ciekawie :)

  11. Ale oczywiscie ze namierzenie takiej osoby jest mozliwe, na calej sciezce ktora nastapilo polaczenie sa logi i nie jest wazna waga czynu. Policja dostaje zgloszenie i wysyla pisma do kolejnych operatorow. A operatorzy maja obowiazek udostepnic logi. Az przychodzi pismo do operatora telewizji kablowej czy gsm i sa dane sprawcy. Proste.

    • Nie sprawcy, a jedynie abonenta.

  12. a jak oni chca to scigac?
    przeciez ten student tego nie wysyla
    czy jesli ktos zapisze sie na jakies informacje bo otrzymal omylkowo email tez ma placic?
    bez jaj! to w takim razie kazdy ktory dal sie nabrac na spam powinien byc ukarany

  13. Sprawcą jest ten co ujawnił adres a studenci w znakomitej większości to niestety debile.

  14. Niby żart, ale pisanie o skreśleniu z listy studentów to już chyba lekka przesada. Mogli to zrobić w inny sposób.

Odpowiadasz na komentarz Paweł P.

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: