21:23
28/2/2019

Torrenty na stronach Uniwersytetu Warszawskiego i admin WAT-u, który miał dostęp do treści wiadomości e-mail studentów. Czyli VI część wpadek polskich uczelni

Autor: Marcin Maj | Tagi:  

W styczniu i w lutym zwykle ruszają rekrutacje na studia zaczynające się od semestru letniego. Postanowiliśmy to uczcić kolejnym, szóstym już przeglądem wpadek uczelni wyższych związanych z bezpieczeństwem i ochroną danych. Podtrzymujemy to o czym pisaliśmy w każdym odcinku tego cyklu do tej pory — uczelniane systemy wydają się zbyt duże i zbyt zróżnicowane, a niekiedy po prostu przestarzałe aby zapewnić im szczelność (to pewnie wina doktorantów, którzy w końcu znaleźli sobie lepiej płatne posady i opuścili swoje Alma Mater ;).

W najnowszym odcinku wpadki zaliczyły się m.in.:

  • Wojskowa Akademia Techniczna
  • Uniwersytet Technologiczno-Humanistyczny w Radomiu
  • Uniwersytet Gdański
  • Politechnika Warszawska
  • Uniwersytet Pedagogiczny w Krakowie.
  • Uczelnia Łazarskiego
  • Uniwersytet Ekonomiczny we Wrocławiu.
  • Uniwersytet Warszawski

A także prześwietlamy korespondencję szkoleniową między COI a Urzędem Miasta w Poznaniu i opisujemy wyciek danych “studentów” firmy szkoleniowej Luqam.

Admin z WAT dostawał kopię poczty

Nasz Czytelnik – nazwijmy go Amadeusz – studiuje na WAT. Pewnego razu wydrukował sobie pewne dokumenty i wysłał je na swoją studencką skrzynkę w domenie @student.wat.edu.pl. Jakże się zdziwił, gdy otrzymał odpowiedź automatyczną z adresu pewnego administratora

Dziękuję za wiadomość. Do dnia ‪06 stycznia‬ jestem poza biurem, z ograniczonym dostępem do poczty.

Oczywiście Amadeusz nic do tego pracownika nie wysyłał. Co zatem się stało? Czy jakieś maile lądują na skrzynce administratora bo ustawił filtry podsłuchujące pocztę studentów? A może — o zgrozo — “mirroruje” wszystkie e-maile jak leci?

Domyślaliśmy się odpowiedzi, ale najprościej było spytać o sprawę Ewę Jankiewicz, rzeczniczkę uczelni. Pani Ewa potwierdziła nasze przypuszczenia. Studenci WAT mają konta w chmurze Microsoftu – Office 365. Ta chmura ma ochronę antyspamową, która została skonfigurowana w taki oto sposób.

Jak zapewne się domyślacie, wiadomość z dużym załącznikiem została uznana za spam.

– Logi systemu pocztowego nie wskazują na inną aktywność w podanym przez Pana redaktora temacie. Z uwagi na brak możliwości wpływania bezpośredniego na mechanizmy klasyfikujące wiadomości jako spam w chmurze Microsoft, pierwsza z opcji (wysyłanie kopii wiadomości) została wyłączona – powiedziała nam Ewa Jankiewicz.

W tej sytuacji administrator nie miał wpływu na to jaką pocztę przejmie. Wszystko zależało od wspomnianych mechanizmów kwalifikujących. Mamy nadzieję, że studenci byli naprawdę ostrożni z tymi dużymi załącznikami :-)

Prywatne serwisy — problemu ciąg dalszy

W poprzednim odcinku uczelnianych wpadek pisaliśmy o “prywatnych” serwisach tworzonych przez wykładowców, do których niestety trafiają dane studentów, nie zawsze za ich zgodą. I znów dowiedzieliśmy się, że pewien wykładowca Uniwersytetu Technologiczno-Humanistycznego z Radomia zamieszczał na swojej stronie protokoły zaliczenia z przedmiotów. W ogólnodostępnych PDF-ach znalazły się nazwiska, numery albumów i informacje o ocenach kilkudziesięciu osób.

Zauważcie, że celowo napisaliśmy “pewien wykładowca”. Tak naprawdę mielibyśmy prawo wymienić tego wykładowcę z nazwiska i nie byłoby to naruszeniem żadnych zasad ochrony danych. Uważamy jednak, że wystarczy wskazanie tego zachowania jako niewłaściwego i na tym poprzestaniemy.

Czy wykładowca postąpił właściwie publikując protokoły? Może miał na to zgodę studentów lub było to zgodne z zasadami panującymi na uczelni? Oczywiście spytaliśmy. Odpowiedział nam  Inspektor Ochrony Danych UTH Michał Czyżewicz.

Informuję, że działanie Wykładowcy nie jest zgodne z Naszą polityką bezpieczeństwa, wskazany plik został usunięty ze strony ponadto Wykładowca został pouczony i upomniany w sprawie stosowania obowiązującej na Naszej Uczelni polityki bezpieczeństwa

Studenci się zgodzili, ale uczelnia nie

Pewien wykładowca Uniwersystetu Gdańskiego postanowił publikować wyniki egzaminów na swojej stronie. Znów PDF z nazwiskami, numerami albumów i ocenami ujrzały światło dzienne. Oto jeden z nich.

Na nasze pytania skierowane do uczelni odpowiedziała Pani Monika Rogo z biura rzecznika prasowego i co ciekawe… tym razem wykładowca miał zgodę studentów na publikację. Mimo to uczelnia poprosiła o usunięcie danych.

Dane z ocenami i nazwiskami studentów Uniwersytetu Gdańskiego ukazały się na prywatnej stronie pracownika uczelni. Pracownik wytłumaczył publikację danych uprzednią ustną zgodą studentów. Zgodnie z procedurami Uniwersytetu Gdańskiego i rozporządzeniem o ochronie danych osobowych (RODO) takie działania są nieprawidłowe. Informacje te zostały przekazane dzisiaj pracownikowi, który natychmiast usunął dane ze swojej prywatnej strony. Uczelnia wdroży kolejne działania przypominające o zakazie umieszczania tego typu danych na ogólnie dostępnych stronach. Uniwersytet Gdański posiada na swojej stronie tzw. Portal Studenta, w którym publikowane oceny są widoczne tylko dla danej osoby i tylko jej dotyczą.

W razie ewentualnych kolejnych analogicznych sytuacji uprzejmie prosimy o przesyłanie maili dodatkowo również do Biura Ochrony Informacji Niejawnych i Danych Osobowych Uniwersytetu Gdańskiego na adres: poin(at)ug.edu.pl. Przyspieszy to wdrożenie koniecznych procedur na uczelni.

My również uważamy, że dane należało usunąć. Dlaczego? Bo w podobnych sytuacjach student może czuć się przymuszony do zgody na opublikowanie jego danych, co również stawia pod znakiem zapytania dobrowolność zgody. Docierały do nas zresztą sygnały, że niektórzy z wykładowców-bohaterów naszego cyklu krytykują nasze publikacje i sugerują studentom, że nadmierna dbałość o swoje dane jest czymś niemądrym. Będziemy tu brutalni, ale bycie specjalistą w jakiejś dziedzinie akademickiej, jakkolwiek jest godne szacunku, nie zawsze idzie w parze z rozsądkiem jeśli chodzi o bezpieczeństwo IT. Czasem trzeba, no wiecie, zmienić granice całkowania, żeby dojść do dobrych wyników.

Numer dowodu jako hasło?

Systemy biblioteczne to klasyka gatunku, pierwszy chłopiec do bicia w naszych zestawieniach uczelnianych. Otrzymaliśmy od jednego z Czytelników kolejny mail w tej sprawie.

Jestem studentem Uniwersytetu Pedagogicznego w Krakowie i tam w bibliotece aby się zalogować trzeba nr studenta a hasłem jest nr dowodu osobistego. Moje pytanie po co biblioteka ma znać mój nr dowodu jako hasło?  W przypadku ataku na BG UP nie powołane osoby dostały by mój nr dowodu osobistego.

Wielokrotnie już pisaliśmy, że numery z różnych ewidencji nie powinny być loginami ani hasłami. Z dwóch powodów. Po pierwsze najlepiej jest, gdy login i hasło nie ma żadnego związku z osobą, która go używa. Po drugie – wyciek loginów czy haseł nie powinien się stać jednocześnie wyciekiem numerów dowodów. Zasugerowaliśmy uczelni, że naszym zdaniem ta praktyka nie jest dobra i należałoby ją poprawić. Uczelnia odpisała nam, że nie widzi dużego problemu, ale weźmie sugestie pod uwagę (poniżej fragment odpowiedzi przesłanej przez  rzeczniczkę Dorotę Rojek-Koryznę).

Zakres wymaganych danych do logowania do systemu bibliotecznego nie stanowi nadmiernego przetwarzania danych osobowych, zwłaszcza, że użytkownik ma możliwość ich ograniczenia poprzez zmianę hasła (…) Dziękujemy za przesłane uwagi i zainteresowanie tematem. Dbanie o bezpieczeństwo danych to ciągły proces, podczas którego każda informacja, zgłoszenie, sugestia prowadzi do pewnych refleksji O ile w danym przypadku nie możemy potwierdzić obaw wyrażonych w Pana e-mailu, o tyle możemy zapewnić, że przedmiotowy postulat będzie brany pod uwagę podczas ewentualnych modyfikacji systemowych.

Na stołecznej politechnice bez zmian!

Bożydar (imię zmienione) podesłał nam zdjęcie obrazujące “standardowy sposób wywieszania wyników na wydziale Inżynierii Lądowej PW”.

Dobrych wyników gratulujemy! Uczelnie wzywamy na egzamin poprawkowy.

Wyszukaj sobie studenta

Od Czytelnika dowiedzieliśmy się, że Uczelnia Łazarskiego ma platformę LDL, która po zalogowanie daje dostęp do listy wszystkich studentów, pracowników w połączeniu z kierunkiem studiów i rokiem. Dodatkowo po wejściu na forum istnieje  możliwość przeglądania składu wszystkich grup (w tym pracowniczych). W wirtualnej uczelni również jest wyszukiwarka studentów. Niby wymaga ona pełnego nazwiska, ale po wpisaniu  kawałka nazwiska też zwraca dane.

Różnorakie wyszukiwarki studentów to również klasyczny problem na uczelniach. W tym przypadku zrzuty robią wrażenie.

Reprezentująca uczelnię Marta Rogalska obiecała nam komentarz w tej sprawie w dniu… 23 maja. Do tej pory nie dostaliśmy.

Jednostkowy incydent, ale sprawdzili uważnie

Nasza Czytelniczka studiująca na Uniwersytecie Ekonomicznym we Wrocławiu zalogowała się do systemu USOS, niestety na konto pewnego pana Bartosza. Nazwisko też się nie zgadzało. Wyglądało to bardzo niepokojąco. Czyżby USOS mieszał sesje w trakcie sesji? Hehe, rozumiecie? Sesje w sesji. To śmieszne było!

Władze uczelni zareagowały na nasze zgłoszenie bardzo szybko. Wkrótce odpowiedział nam Jacek Styś, uczelniany Inspektor Ochrony Danych.

Po przeprowadzeniu analizy przypadku razem  z administratorami systemów wynika, że faktycznie konto p. [tu nazwisko] w usosweb omyłkowo zostało połączone z kontem p. [tu nazwisko Bartosza] w taki sposób, że po logowaniu poprzez CAS za pomocą poświadczeń użytkownika [nazwa użytkownika] i otwarciu strony usosweb wyświetlany był profil użytkownika [nazwa użytkownika-Bartosza].

Odwrotna sytuacja nie zachodziła, do konta [///] w usosweb nie miał nikt dostępu, gdyż jej identyfikator nie był nikomu przypisany (a zamiast jej własnego przypisany był identyfikator p. [///]).

Wygląda na to, że był to jednostkowy incydent  wynikający  z faktu, że obie te osoby brały udział w tej samej rekrutacji na studia 3 stopnia i podczas zakładania kont wystąpił błąd przydzielania identyfikatorów.

Przy okazji zleciłem przeprowadzenie audytu pozostałych kont w systemie usosweb pod kątem zaistniałej sytuacji, aby sprawdzić czy podobny problem nie występuje w przypadku innych kont, ale wygląda na to, że sprawa dotyczyła tylko  tego jednego konta.  Nie ma więc tutaj sytuacji wycieku danych na szerszą skalę, jedynie miało miejsce chwilowe uzyskanie dostępu przez do danych p. [///] (ale jedynie tych przechowywanych w usosweb).

Cieszymy się, ze tak uważnie to sprawdzono. Pełny profesjonalizm.

Torrenty na Uniwersytecie Warszawskim

Na stronie pewnych studiów podyplomowych na UW znajdowała się interesująca treść.

To mało prawdopodobne, że UW postanowił stać się alternatywą dla The Pirate Bay więc daliśmy uczelni znać. Rzeczniczka przekierowała sprawę do pani Justyny Kaczorowskiej z agencji Su4ma, a pani Justyna przyznała, że wcześniej było włamanie na stronę.

Tak, wiemy już o tym, że strony studiów podyplomowych padły ofiarą ataku przez kogoś z zewnątrz. Pomimo haseł i zabezpieczeń strony (domyślamy się, że doszło do tego w jakiś sposób przez konto admin) zostały wstrzyknięte obce wpisy i linki do pobierania różnych nielegalnych rzeczy.

W chwili obecnej usuwamy te zainfekowane wpisy i czyścimy cała bazę danych, zmieniliśmy już hasła i uruchomiliśmy dodatkowe zabezpieczeni witryny przed takiego typu włamaniami. Proces czyszczenia jeszcze niestety trochę trwa, bo mamy aż 19 stron studiów podyplomowych, ale sukcesywnie wszystkie niepożądane treści zostaną w całości usunięte. Bardzo dziękuję za czujność.

Dzień później dostaliśmy kolejną wiadomość w tej sprawie, tym razem od kierownika Ośrodka Komputerowego Wydziału Zarządzania UW, pana Marka Mossakowskiego.

Po przeprowadzonej analizie, ustalono że niepożądane posty znalazły się w serwisie podyplomowe.wz.uw.edu.pl z powodu wykorzystania podatności WordPress’a na zawirusowanie skryptem WPCoreSys.php. Artykuł opisujący podobny atak: http://sarn.phamornsuwana.com/wpcoresys-dolly-hack/
Serwis został oczyszczony z obcych wpisów. Podjęto również kroki w celu lepszego zabezpieczenia serwisu.

Dziwne treści na stronach uczelni to też klasyczny problem. Zdarzają się także ciekawsze anomalie, np. koparki kryptowalut.

Prowokacja?

Wypada nam odnotować, że nie wszystkie wasze zgłoszenia się potwierdzają. Przykładowo pewien Czytelnik podesłał nam poniższe zdjęcie z informacją, że doszło do wycieku “danych tysięcy studentów wraz ze zdjęciami, PESEL-ami, numerami dowodów i adresami”.

Hę!

Rzecznik prasowy uczelni – Joanna Orłowska – zaprzeczyła autentyczności doniesienia. Jej zdaniem sprawa dotyczyła uczelnianej platformy e-learningowej, na której w godz. 11.50-14.30 wyświetlano inny komunikat.

Treść komunikatu mogła zostać zmieniona w przeglądarce użytkownika za pomocą funkcji developerskich i przesłana do Państwa. Na platformie elearningowej nie przechowujemy danych, o których Pan pisze (tj. adres, nr PESEL czy nr dowodu), a zatem nie może być mowy o ich wycieku. W naszej opinii mamy  w tym przypadku do czynienia z prowokacją – stwierdziła Joanna Orłowska w e-mailu do redakcji Niebezpiecznika.

Dostajemy do was również inne sygnały, które ostatecznie okazują się mniej groźne np. informacje o wyciekach danych osób, z którymi uczelnia zawierała umowy. To są w istocie informacje publiczne, które powinny wisieć online tam gdzie wiszą i tam gdzie je znajdujecie. Choć z tego “wpisu nie będzie” to nie mamy z tym problemu. Nie chcemy też zniechęcać Was do sygnalizowania nam problemów. Ba, bardzo doceniamy każde zgłoszenie. Piszcie zawsze, gdy coś wygląda podejrzanie lub czujecie, że jakaś praktyka (nawet zgodna z prawem) jest naganna. My z chęcią sprawdzamy każdy cynk.

COI szkoli

Szkolenia to może nie to samo co studia, ale w naszym uczelnianym cyklu zahaczaliśmy już o szkoły średnie i inne formy edukacji. Może więc warto przyjrzeć się szkoleniom wewnątrzfirmowym? Jeden z Czytelników podesłał nam kopię maila w sprawie szkolenia, którego do COI wysłał ktoś z Urzędu Miasta w Poznaniu.

Mail doczekał się odpowiedzi.

Urzędnikom radzimy, by zapoznali się z menedżerami haseł i aby nigdy nie korzystali z tych samych haseł w różnych miejscach.

Przyszły audytor wypatrzył problem

W tematykę szkoleniową wpisuje się także inne, poważniejsze zgłoszenie. Dotyczyło ono firmy Luqam, która organizuje szkolenia m.in. dla audytorów bezpieczeństwa informacji ISO 27001. Nasz Czytelnik – zapewne przyszły audytor – dostrzegł, że połączenie ze stroną nie było szyfrowane, a dane uczestników dało się zobaczyć poprzez manipulowanie adresem w postaci http://www.szkolenia.luqam.com/zobacz.php?id=8342.

Dostępne dane obejmowały nazwiska, adresy, e-maile, numery telefonów i informacje o uczelni, na której dana osoba studiuje. Na szczęście firma Luqam szybko zareagowała na nasze zgłoszenie. Prezes Łukasz Ekiert odpisał nam tak:

W trybie korekcyjnym osunęliśmy stronę i powołaliśmy tryb zastępczy do wykonywania zapisów.

Sytuacja uruchamia  w naszym systemie zarządzania procedurę incydentu bezpieczeństwa do której planujemy i wdrażamy działania korygujące w nieporozumieniu z właściwymi organami nadzorczymi.

Z drugiej arony jestem w chwili obecnej w trackie wdrażania systemu ERP z modułem szkolenia zaprojektowanym z uwzględnieniem wymagań przepisów i rozwiązań zapewniających bezpieczeństwo. Nie mniej jednak jak pokazuje praktyka niezależnie od auditow dotychczas prowadzonych rozwiązania nie zawsze są w pełni sprawne i bezpieczne.

Saga trwa…

Ten tekst prezentuje tylko małą część znanych nam problemów z ochroną danych na uczelniach i w placówkach oświatowych. Usuwanie skutków innych znanych nam problemów jest w toku, dlatego nie opisaliśmy ich w tym odcinku. Ale wrócimy do nich na pewno — materiału jest na co najmniej dwa kolejne artykuły :)

Jeśli po raz pierwszy czytasz nasz przegląd uczelnianych wpadek, zachęcamy do przejrzenia poprzednich odcinków:

  1. Wyciek 11 000 CV studentów z Uniwersytetu Wrocławskiego i sposób na usunięcie niektórych studentów Politechniki Warszawskiej z egzaminów. Czyli polskie uczelnie na bakier z bezpieczeństwem
  2. Wpadki polskich uczelni cz. II. Wycieki danych studentów i wykładowców, dziury w systemach itd.
  3. Wpadki polskich uczelni cz. III. Ujawnienie danych studentów, niska świadomość bezpieczeństwa pośród wykładowców i kopanie kryptowalut
  4. Wyszukiwarki studentów, publiczna lista usterek i niebezpieczne punkty ksero, czyli uczelnianych wpadek cz. IV
  5. “Prywatne” serwisy wykładowców z danymi osobowymi, czyli uczelnianych wpadek część V

Już po raz szósty dziękujemy Wam, Drodzy Czytelnicy, za stałe nadsyłanie “uczelnianych kwiatków”. Niech Wam egzaminator na sesji wynagrodzi, a piwo tanim będzie!

Jeśli coś nam podesłałeś, a nie widzisz tego w tym artykule, to oznacza, że możemy być jeszcze w trakcie wyjaśniania sprawy, czekamy na załatanie problemu, albo z innych powodów musieliśmy odłożyć publikację. Nie martw się jednak, ten cykl będzie trwał i trwał… A jeśli nam czegoś nie podesłałeś, to na co czekasz? Rozejrzyj się po uczelni, jesteśmy pewni, że coś znajdziesz i czekamy na kontakt :)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

32 komentarzy

Dodaj komentarz
  1. Dominik 2019.02.28 21:47 | # | Reply

    wykładowcy PK również publikują oceny w .xls’ach na stronach przedmiotowych. jestem studentem jednego z wydziałów i muszę przyznać że chyba każdy z wykładowców zawsze na początku współpracy pyta o zgodę lub oczekuje podpisania oświadczenia o zgodzie (podpis na liście)

    uważam że nie są to wrażliwe dane, myślę że nie ma co siać paniki

  2. Anonym 2019.02.28 21:55 | # | Reply

    To ostatnie to jednak trochę zgroza. W projektach na zajęcia pozwalałem sobie na przesyłanie takich rzeczy GET’em (mniej istotnych danych niż tutaj oczywiście, jeżeli przesyłałem jakieś ID, to nie pozwalały one zaglądać do danych innych userów), ale w poważnym zastosowaniu coś takiego? Jeszcze zrozumiałbym, gdyby reszta adresów była zablokowana przed dostępem, ale to tylko półśrodek. Moim zdaniem niestety ktoś się nie popisał wyobraźnią lub zwyczajnie nie miał “czasu”.

    Oczywiście patrzę z perspektywy “studenciaka” na to wszystko, więc wiecie… cóż ja mogę wiedzieć?

  3. AgentNCIS 2019.02.28 22:02 | # | Reply

    W kwestii Uczelni Łazarskiego (jako jeden ze studentów):
    a) Mailowo – nie spodziewajcie się zbyt prędko odpowiedzi, bo zarówno kontakt z kadrą pedagogiczną, jak i włodarzami uczelni graniczy z cudem (chyba, że ktoś zalega z płatnościami, to wtedy od razu się odzywają) i jest to dramat.
    b) Dodatkowo, na platformie e-learningowej, pierwszym i domyślnym hasłem, które jest przekazywane, to PESEL. I z czego pamiętam, opcja resetowania hasła po pierwszym logowaniu nie jest zaimplementowana. ;)

  4. W(ww) 2019.02.28 22:26 | # | Reply

    Po wejściu w życie RODO, można zauważyć jedną kluczową zmianę w systemie USOSweb – nie można już po numerze indeksu zobaczyć do kogo on należy. Trochę to smutne, bo nie zobaczymy jakie oceny dostali “koledzy, którzy nic się nie uczyli”. Ale przesyłanie maili od wykładowców w formacie: lista studentów -> NrIndeksu – ocena, nadal funkcjonuje ; )

  5. X0r 2019.02.28 23:03 | # | Reply

    (wiem że offtop ale po tym jak tutaj nie odpowiecie to chyba zostanie mi jechać do was w realu)
    nie odpisujecie mi na maile, jestem na jakiejś blackliście czy coś??? jak tak to za co?

  6. Reishen 2019.03.01 01:44 | # | Reply

    Uczenie urzędników nowości do e-dowodu za pomocą Flasha w 2019, wzbudza niejaki niepokój…

  7. Grzesio 2019.03.01 02:21 | # | Reply

    „Wyszukaj sobie studenta”
    Wszyscy kochają AJAXa :>
    A może to zbuferowana tablica przesyłana w skrypcie?

    „Jednostkowy incydent, ale sprawdzili uważnie”
    Gdy dwie osoby wcisną „zarejestruj się” jednocześnie, w systemie napisanym przez studenta?

    „Torrenty na Uniwersytecie Warszawskim”
    Gdy zrobienie, automatycznego backupa strony to za duży poziom zaawansowania i potem pracownicy muszą wszystko ręcznie usuwać?

  8. * 2019.03.01 07:44 | # | Reply

    “Sytuacja uruchamia w naszym systemie zarządzania procedurę incydentu bezpieczeństwa do której planujemy i wdrażamy działania korygujące w ***nieporozumieniu*** z właściwymi organami nadzorczymi.”
    I od razu wiadomo dlaczego coś poszło nie tak ;)

  9. K 2019.03.01 08:40 | # | Reply

    Pamiętam, jak na jednej politechnice stał serwer rozsyłający klucze do tv (sharing). Jakie było zdziwienie administratorów po wykryciu: “a co to się stało się? to było tutaj od zawsze, nikt do końca nie wiedział co to jest, ale działało chyba dobrze, to nikt tego nie ruszał”.

  10. Robert 2019.03.01 09:53 | # | Reply

    Ale zaraz. Piszecie o tym, że jak podane jest imię, nazwisko i pesel to źle?
    Hmmmm – patrząc na to w sposób taki – po kiego cziorta ktoś kradłby te dane? Studenci zazwyczaj kasy większej nie mają. Lepszym źródłem jest jednak KRS – gdzie jest to wszystko za free. A ci prezesi, raczej tej kasy mogą mieć o wiele więcej.

  11. atom 2019.03.01 10:06 | # | Reply

    Może wprowadzicie jakiś ranking uczelni? Jedna wtopa jeden punkt. “Wygrywa” uczelnia z największą ilością punktów

  12. Kamil 2019.03.01 10:23 | # | Reply

    Mam taki troszkę offtop ale chciałbym się dowiedzieć czegoś na co szkoda pisać raczej maila i zaśmiecać skrzynkę, bo może ktoś z komentujących miał podobne przeżycia i się podzieli rozwiązaniem.
    Chciałbym usunąć swoje konto z serwisu UPC, ponieważ nie łączy mnie z nimi już żadna umowa, płatności są uregulowane. Nie lubię zostawiać kont, do których można się zalogować i dostać się do danych. Kontaktowałem się z nimi parę razy ale za kaażdym razem dostawałem odpowiedź, że nie mogą mi pomóc, bo nie mogą usunąć moich danych bo są potrzebne do ordynacji podatkowych itd. I ja to rozumiem, ale chciałbym usunąć / zablokować konto a nie moje dane. Czy to jest aż takie wyzwanie dla firmy aby usunąć konto użytkownika a nie usuwać powiązanych z nim danych?

  13. User 2019.03.01 10:24 | # | Reply

    Na mojej byłej uczelni było świetne zabezpieczenie przed atakami brute force na hasła. Do jednego z modułów była weryfikacja captcha, co jest ok, a na dwóch pozostałych (gdzie są te same dane do logowania!) już tej weryfikacji nie było…

  14. Gwóźdź 2019.03.01 12:32 | # | Reply

    “Food defence”? Szkolenie z taktyki walki na jedzenie?

  15. Lulek 2019.03.01 12:32 | # | Reply

    Dobra, po kolei. O ile nie podoba mi się i słusznie, że krytykujecie, wywieszanie niezabezpieczonych danych w sieci o tyle lista z wynikami wywieszona na wydziale to już jest jakaś obsesja i faszyzm. W czasie moich studiów, 20 lat temu na AGH, wykładowcy przeważnie prosili o to, aby wpisać na liście jakiś pseudonim czy co kto tam chciał aby nie wypisywać nazwisk przy ocenie. Problem solved.

    Ale dodatkowo, ktoś pozna czyjąś ocenę np. z numerologii albo historii socjalizmu w Kambodży. I CO Z TEGO? Weźmie na te dane kredyt? Mam nieodparte wrażenie, że najgłośniej przeciwko publikacji wyników protestują ludzie, którzy ledwo zdają i jadą na niskich ocenach i jest im, po prostu, wstyd wobec innych. W szkole również inni uczniowie znają oceny kolegów, bo albo przepytywanie albo ocenianie jest publiczne. To też problem? Teraz trzeba odpytywać uczniów bez udziału kolegów z klasy? To też źle, bo będzie, że molestują.

  16. Maciek 2019.03.01 12:48 | # | Reply

    “Docierały do nas zresztą sygnały, że niektórzy z wykładowców-bohaterów naszego cyklu krytykują nasze publikacje i sugerują studentom, że nadmierna dbałość o swoje dane jest czymś niemądrym. ”

    To zdanie doskonale charakteryzuje podejście do bezpieczeństwa przez pracowników uczelni z tytułami prof., dr i inż przed nazwiskiem. I to o specjalizacjach, które bezpośrednio tego bezpieczeństwa dotyczą. Mam wrażenie, że to ludzie trochę oderwani od rzeczywistości.

    W zeszłym miesiącu miałem przyjemność bycia wezwanym do serwisu pewnego urządzenia (mniejsza z tym jakiego), będącego w posiadaniu jednej z politechnik.

    Sieć uczelniana jest zarządzana przez pracowników uczelni, oczywiście utytułowanych. Funkcjonuje to to również w ograniczonym zakresie jako ISP dla podmiotów zewnętrznych.

    Urządzenie straciło konfigurację, w tym przypisaną statyczną adresację. Powiem tak – po kilku telefonach trochę się zdziwiłem, kiedy w końcu trafiłem na właściwą osobę i otrzymałem do wprowadzenia adres… publiczny.

    Kiedy wyraziłem swoje obawy co do wystawiania tego typu urządzeń bezpośrednio do internetu, powiedziano mi, że to po to, żeby je mogli monitorować (sic! chyba Rosjanie).

    Zwyczajowo tego typu urządzenia wstawiamy jak każde inne, czyli za NAT-em. Niektórzy mają dla nich wydzielone osobne podsieci, niektórzy mają zestawionego VPN-a między urządzeniem, a jego operatorem. Oczywiście część ma pokonfigurowane pod te urządzenia firewalle. Bywa różnie, zależnie od firmy. Ale nikomu chyba do tej pory nie przyszło do głowy, żeby je wystawiać na publicznym IP.

    A urządzenie można zawiesić po prostu je pingując przez klika minut, więc celowo nie piszę co to jest i na której konkretnie politechnice stoi, żeby ktoś potem się na Shodanie nie rozszalał :)

  17. CluelessKiwi 2019.03.01 13:03 | # | Reply

    USOS w ogóle ma dziwne problemy z danymi – w czasie rejestracji na przedmioty rutynowo pojawia się problem z nieświeżym cachem, gdzie inny stan jest wyświetlany, a na innym faktycznie pracuje system. Można być zarejestrowany i nawet o tym nie wiedzieć, bo są zwracane stare dane.
    Z drugiej strony, przypisywanie złych (zduplikowanych?) ID użytkownikom brzmi jak jakiś poważny problem architektury systemu.

  18. CluelessKiwi 2019.03.01 13:08 | # | Reply

    Co do dostępu do e-maili przez administratora – jest jakikolwiek dostawca poczty, gdzie administrator nie ma dostępu do treści maili (i nadal są to zwykłe maile, a nie maile szyfrowane end-to-end, czy endemiczne szyfrowanie jak w ProtonMail)? Teoretycznie polityka firmy / dostawcy może to wymuszać, ale w praktyce ktoś przecież musi mieć dostęp do storage i do maszyn.

  19. Malgond 2019.03.01 17:20 | # | Reply

    Prezes szkółki audytorów bezpieczeństwa ma nie tylko problem z bezpieczeństwem, ale i w wyrażaniu się w języku ojczystym. Takiego bełkotu dawno nie czytałem.

    Do tego: “… w nieporozumieniu z właściwymi organami…” – bezcenne. Ta firma to jedno wielkie nieporozumienie, zdaje się.

  20. Malgond 2019.03.01 18:09 | # | Reply

    Co do wpadek uczelnianych, to podzielę się historią z dawnych lat.

    Ktoś zgłosił, że – o zgrozo – na serwerach uczelni leżą świństwa. WTF? No rzeczywiście – na różnorakich kontach studenckich w ~/public_html sporo niekoszernych JPGów. Tylko JPGi, żadnych HTMLi. Konta legalne, założone na aktywnych studentów kilku “mniej technicznych” wydziałów. Aktywność na kontach sprowadzała się do FTP STOR tudzież DELE oraz HTTP GET. Referer tych GETów z tej samej stronki firmy X sprzedającej dostęp do obrazków. Co ciekawe, ani jednego logowania na te konta przez SSH, żadnej poczty ani korzystania z innych usług na tych kontach system nie zarejestrował. Ktoś sprytny po prostu sobie zrobił “cloud storage” z naszego serwera, kradnąc przestrzeń dyskową i przede wszystkim pasmo uczelni (to były czasy, kiedy pasmo było bardzo drogie). A że limit dysku na pacjenta był niski, to tych kont było sporo i regularna rotacja obrazków na nich.

    Analiza nie wykazała śladów włamu. Wyciek bazy haseł i atak słownikowy? Ale dlaczego tylko na studentów kilku wydziałów, w dodatku nie korzystających z założonych kont? Mało prawdopodobne, aby złamane zostały hasła tylko tak specyficznej grupy. Procedura zakładania kont wydawała się szczelna – wniosek wprawdzie elektroniczny, ale delikwent musiał się stawić osobiście z legitymacją i podpisać wydruk wniosku z danymi osobowymi i oświadczeniem o zapoznaniu się z regulaminem. Papiery były w porządku. Losowo zablokowaliśmy kilka kont na próbę – nikt się nie stawił ani nie zadzwonił, że ma problem z logowaniem, a (automatyczna?) rotacja obrazków na pozostałych trwała nadal.

    Podejrzewaliśmy, że ktoś wyłudza albo wręcz skupuje dostępy od “nietechnicznych” studentów. Zapytaliśmy kilku studentów z tej grupy, twierdzili, że nic o procederze nie wiedzą, konto założyli, bo taka była instrukcja dla nowych studentów, ale nie używali do tej pory, hasła nikomu nie udostępniali. Albo rżnęli głupa, sprzedawszy uprzednio dostęp za butelkę piwa, albo ktoś ich jakoś socjotechniczne podszedł. Nikogo za rękę nie złapano. Poszedł raport do rektora, ale czy jakaś akcja prawna przeciw firmie X była, tego nie wiem.

    Jaka była wina nas, adminów? Chyba tylko brak monitorowania ruchu w sieci czy aktywności na serwerach (analiza logów?) pod kątem nietypowych wzorców – bo na sumarycznych danych typu ruch na wyjściu sieci “na świat” czy zajętość dysku nie było widać wyraźnych oznak – spodziewany wzrost zajęcia dysku na początku semestru, logi HTTP jakoś drastycznie nie przyrosły (większość ruchu było “legitnego”), trend ruchu w sieci nie odbiegał od przeszłych okresów. Zapobiec wpadce mógł tylko jakiś automatyczny system analizujący ruch, logi itp. W tamtych czasach nikt o tym nie myślał, zresztą narzędzi też nie było, przynajmniej powszechnie dostępnych.

  21. Piotr 2019.03.01 18:32 | # | Reply

    W bibliotece UWM też są luki. Jako login używany jest PESEL.

  22. Marek 2019.03.01 18:44 | # | Reply

    Jeżeli chodzi o publikowanie zaliczeń na stronach wykładowców to ja akurat nie mam z tym problemów. Studia skończyłem 10 lat temu, wówczas wykładowcy posługiwali się zazwyczaj wyłącznie numerem indeksu, nazwiska faktycznie są niepotrzebne. A już zdecydowanie przesadą jest robienie afery z wywieszenia listy zaliczeń w formie kartki gdzieś na drzwiach na wydziale.
    Tak, wiem że to niezgodne z RODO i tak dalej, ale zachowajmy zdrowy rozsądek. Ludzie na studiach i tak się wszyscy znają, wszyscy wiedzą kto jaką dostał ocenę. Róbmy afery z prawdziwych incydentów.
    Na przyszłość sugeruję zgłosić usprawnienie wykładowcy a nie od razu uderzać do prasy (no chyba że wykładowca jest odporny na sugestie). Szczerze powiem, że byłoby mi przykro gdybym o swojej potencjalnej wtopie dowiedział się z Niebezpiecznika zamiast od współpracowników czy potencjalnych studentów.

  23. student 2019.03.02 09:19 | # | Reply

    Na Wyższej Szkole Bankowej w Poznaniu loginem do extranetu jest numeru albumu z dopiskiem pz, a hasłem jest PESEL studenta. Mało kto to zmienia ;)

    • Piotr 2019.03.04 10:07 | # |

      We wszystkich WSB ;)

  24. Marcin 2019.03.04 14:40 | # | Reply

    Kiedyś to było.
    Kompletna lista na drzwiach – numer indeksu i ocena. Wszyscy byli happy. Nikt nie robił problemów. I pomyśleć że trwało to tak latami… a teraz?
    Biurokracja kolejny raz każe wstydzić się nas samych, a zaraz z drugiej strony nagradza tych ‘wyzwolonych’.

    • Adam 2019.03.05 15:56 | # |

      Za moich czasów było nazwisko imię – ocena. I czasem ludzie oddawali niepodpisane – u mnie na wydziale zawsze widniało tako jako “Anonim Gall – ndst”, czyli problem istniał, jak ktoś wiedział że kiepsko napisał to się wstydził.

  25. pq 2019.03.04 17:14 | # | Reply

    Korzystając z podobnego tematu:
    Czy żądanie przejścia procedury background check po wejściu RODO jest legalne? Czy ewentualnie można się nie zgodzić? Jaki zakres jest obowiązkowy (jeśli jest)? Umowa już podpisana, weryfikację ma przeprowadzać HireRight.

  26. Adrian 2019.03.07 10:23 | # | Reply

    PESEL jako hasło dostepu do wyników badań to też standard w systemach laboratoriów diagnostycznych.

  27. badumtsss 2019.03.18 13:47 | # | Reply

    A to na WSE w Krakowie trzeba się logować swoim peselem… (do wirtualnej uczelni – jak dla mnie to było skrajnie głupie). Z mailami też mają coś pokręcone (znajoma opowiadała, że studentka niższego roku wysyłając maila do wykładowcy wysłała ją do… rektora, mimo że adres mailowy był poprawny, a sam adres rektora nie widniał w systemie – JAK?).

  28. » Anonimizacja przez “obrazkowanie” i nr dowodu jako hasło? Wpadki uczelni cz. VII -- Niebezpiecznik.pl -- 2020.02.07 13:00 | # | Reply

    […] …odkryłem że na Uniwersytecie Wrocławskim mam możliwość do zalogowania się moim uczelnianym loginem (co jest normalnym) na platformie Azure. Nic by w tym dziwnego nie było, gdyby nie fakt… że w Azure Active Directory mam dostęp do wyświetlenia wszystkich userów i grup w Active Directory… cała uczelnia na tacy, coś na wzór tej wyszukiwarki z Uczelni Łazarskiego […]

  29. » Wyciek danych z Politechniki Warszawskiej – nazwiska, dane kontaktowe, oceny -- Niebezpiecznik.pl -- 2020.05.04 11:42 | # | Reply

    […] Torrenty na stronach Uniwersytetu Warszawskiego i admin WAT-u, który miał dostęp do treści wiado… […]

  30. Pawel Walkon 2020.09.15 22:09 | # | Reply

    A na stronie szkoleniowej Luqam dane osobowe można pobierać do woli.
    Widać “W trybie korekcyjnym … tryb zastępczy […]” – nic nie zmienił.

    Przykłady linków:
    http://www.szkolenia.luqam.com/zobacz.php?id=8342
    http://www.szkolenia.luqam.com/zobacz.php?id=8339
    http://www.szkolenia.luqam.com/zobacz.php?id=8334
    – wystarczy podmienić na końcu ID

Odpowiadasz na komentarz Dominik

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: