11:31
4/5/2020

Z Politechniki Warszawskiej wyciekł plik SQL z dość wrażliwymi danymi studentów. Przypomina to, że niestety w epoce nauki zdalnej uczelnie muszą podwójnie zadbać o bezpieczeństwo danych.

Jeden z Czytelników poinformował nas, że w pewnym miejscu w internecie wisi sobie plik SQL, który najwyraźniej zawiera dane studentów Politechniki Warszawskiej. Dane najwyraźniej pochodzą z systemu OKNO, który – o ile sie orientujemy – jest systemem kształcenia na odległość. Nasz informator wspomniał, że “system jest dużo starszy od RODO, po którego wprowadzeniu nikt nie zajął się dostosowaniem do wymogów prywatności”

Wskazany nam przez informatora plik ma rozmiar 2,8 GB, a więc danych zawiera dość sporo.

Fragment pliku SQL, który wyciekł z PW

Jak dotąd poddaliśmy go tylko pobieżnej analizie, ale możemy powiedzieć, iż znajdują się w nim:

  • e-maile,
  • nazwiska,
  • numery indeksów,
  • numery telefonów,
  • hasze haseł,
  • numery PESEL, NIP, nr dokumentów (w tym dowodów osobistych)
  • daty urodzenia,
  • adresy,
  • nazwiska panieńskie matki,
  • informacje o ocenach, momencie ich wystawienia oraz o wykładowcy,
  • adresy IP logowań,
  • informacje o szkole średniej,
  • treści wiadomości przesyłanych w systemie, w tym dotyczące opłat za studia albo np. zmiany numerów dowodów osobistych.

Dane dotyczą kandydatów na studia, pracowników uczelni i kilku tysięcy studentów. Informacje w bazie nie wydają się bardzo stare tzn. są w niej informacje pochodzące także z kwietnia i maja 2020 roku.

O wycieku powiadomiliśmy Politechnikę Warszawską i czekamy na jej komentarz dotyczący tej sprawy. Możecie się spodziewać aktualizacji tego artykułu.

Co robić? Jak żyć?

Zakres ujawnionych danych jest na tyle poważny, że warto pomyśleć o unieważnieniu dowodu, zastrzeżeniu dowodu i wyrobieniu nowego dokumentu. Możliwe działania opisaliśmy już ponad rok temu w tekście pt. Co jeśli oszust weźmie pożyczkę na moje dane?  Zaktualizowane instrukcje dotyczące tego, co robić i czego nigdy nie robić, bo nie ma to sensu i szkoda pieniędzy znajdziecie w naszym webinarze dotyczącym ochrony przed wyciekami danych. Na hasło WycieklyMiDaneZPW dostaniecie 35PLN zniżki. To jedyne takie kompendium wiedzy w polskim internecie i informacje, które (niestety) każdemu się prędzej czy później przydadzą.

 

Uczelnie, uczelnie…

Oby nie okazało się, że jest to dalszy ciąg jakiejś czarnej serii problemów uczelni wyższych. Niedawno informowaliśmy o ataku na Collegium Da Vinci i SWPS, skąd dane podobno nie wyciekły, ale mogą zostać utracone. Wypada odnotować, że mimo wszystko UODO przyjrzy się sprawie ataku na SWPS oraz zasadom przetwarzania danych na uczelni.

Niebezpiecznik od dawna pisze o problemach z ochroną danych na uczelniach. W ramach lektury uzupełniającej polecamy nasz uczelniany cykl:

Jeśli rozejrzałeś się po swojej uczelni i chciałbyś coś do tego cyklu dodać do czekamy na kontakt :)

Aktualizacja 4.05.2020

Uaktualniliśmy katalog danych, jakie znalazły się w bazie. Niestety są w niej także numery dowodów osobistych i PESEL-e, które w połączeniu z innymi danymi otwierają drogę do poważnych nadużyć. Jeśli studiujecie na PW i obawiacie się, że wyciek mógł was dotknąć, macie powody by unieważnić swój dowód osobisty, zastrzec stary dowód i wyrobić nowy dokument.

Aktualizacja 4.05.2020 14:15

Rzeczniczka Politechniki Warszawskiej Izabela Koptoń-Ryniec przesłała nam następujące oświadczenie.

Jesteśmy w trakcie ustalania szczegółów zdarzenia, w tym jego skali. Staramy się jak najszybciej dotrzeć do jego przyczyn, aby ustalić źródło potencjalnego ujawnienia danych osobowych i zabezpieczyć je przed nieuprawnionym wykorzystaniem. Jeśli tylko zdarzenie związane z naruszeniem ochrony danych osobowych zostanie potwierdzone, niezwłocznie zostaną podjęte działania w celu zniwelowania skutków naruszenia, a sprawa zostanie natychmiast zgłoszona odpowiednim organom. Już teraz zajmuje się nią Inspektor Danych Osobowych we współpracy ze służbami Politechniki Warszawskiej.

Aktualizacja 6.05.2020 11:20

Mamy kolejne, niestety złe wiadomości. Wiele wskazuje na to, że włamanie do systemu nie było pojedynczym zdarzeniem. Wiarygodny informator doniósł nam, że włamania do systemu OKNO następowały nie raz, a jedno z nich miało miejsce już pod koniec 2019 roku lub na początku bieżącego roku. Więcej w nowym artykule pt. Wyciek z Politechniki Warszawskiej: Mogło być więcej niż jedno włamanie

Przeczytaj także:



58 komentarzy

Dodaj komentarz
  1. Gdzie znajdują się dane z takich wycieków? Z tego konkretnego ale i ogolnie?

  2. Cześć, czy mogę jakoś sprawdzić czy moje dane się tam znajdują? Proszę o kontakt osoby mające dostęp do tego pliku

  3. select * from PW;

  4. Wszystkie Stringi jako text – gr8 stuff :D

  5. Wyciekły dane z uczelni, stosującej numer indeksu jako login, a PESEL od tyłu jako niezmienialne hasła do e-indeksu? Kto by się spodziewał.

    • Akurat w tym systemie login i hasło użytkownika nie ma nic wspólnego z numerem indeksu i peselem.

  6. Mogę u Was potwierdzić czy wyciekły moje dane osobowe? Moglibyście stworzyć formularz, w którym można to sprawdzić?

    Czekam z niecierpliwością na dalszą analizę. Obawiam się wycieku numeru dowodu/PESEL. Dajcie znać jak wygląda sytuacja.

  7. Czym się różni unieważnienie od zastrzenia dowodu?

  8. Jak to wyciekło? Malware?

    • Stawiam na automatyczny backup w głębokim ukryciu i kogoś, kto zapomniał wyciepać ścieżki backupów z document-root.

  9. Teraz uczelnia powinna jeszcze pokryć koszta wyrobienia nowego dowodu osobistego i wysyłki wszystkich pism do banków oraz kredytodawców, które wysyłamy w celu aktualizacji danych w tych instytucjach. Dodatkowo powinna przygotować pieniądze na wypłatę odszkodowań w razie zaciągnięcia kredytów lub chwilówek na wykradzione dane.

    • Przecież GDPR nie służy by pokrywać koszta poszkodowanych. Ten przepis został wprowadzony tak a nie inaczej bo to było pewne, że firmy będą się na tym wywalać bez końca (nie mówiąc już o systemach, gdzie bazy danych były nazywane po Polsku. ŻrećCiasteczka()).

    • @jaykob Za wyłudzone chwilówki niech odpowiadają instytucje finansowe i wyłudzacze.

    • i odpowiadają, ale co się nałazisz, żeby udowodnić, że nie masz garba to Twoje. Ja już 2 lata walczę z PZU o usunięcie danych z ich baz. Danych, których nigdy im nie przekazałem.

  10. Dajcie to na breakingin

  11. Czy wiadomo jaki jest zakres czasu z którego pochodzą dane?

  12. Mnie jeszcze nikt nie poinformował o wycieku, a najprawdopodobniej mnie również on dotyczy…

  13. Jakaś możliwość sprawdzenia czy się jest w tej bazie?

    • Jeśli jesteś/byłeś studentem OKNA w ciągu ostatnich 12 lat to na 99% Twoje dane wyciekły.
      Oczekuj maila od PW, jeśli Twoje dane wyciekły i mają Twojego maila to wyślą wiadomość.

    • Marcin, studentem OKNA nie, ale PW tak, a korzystaliśmy z Platformy Edukacyjnej OKNA na zajęciach

    • Bartosz, prawdopodobnie korzystałeś z Moodla logując się USOS-em, a nie z platformy administracyjnej OKNO, więc nie ma co panikować.

    • Dotryw mordo, Twoje dane są w necie. Pozdrawiam.

    • A wiecie, że okno uczyło informatyki?

  14. Co komu po nowym dowodzie, skoro można wziąć kredyt na kolekcjonerskie prawo jazdy, w którym nie zgadza się adres, zdjęcie, podpis, a NAWET NUMER? Wystarczyło imię + nazwisko + PESEL. [konkurencja opisywała taki przypadek 01 stycznia 2020]
    Nie zdziwiłbym się gdyby dowód z kosmicznym numerem też by przeszedł.

    Banki i parabanki nic nie sprawdzają. Komornicy zapewne piszą tylko do Centralnej Informacji o Rachunkach w KIR – dowiadują się numerów kont i dają pismo do banku o zajęciu. Pozamiatane! Prawdziwy adres ich nie obchodzi.

    Jakkolwiek to brzmi: cieszę się, że dane wyciekają. Im więcej wycieknie, tym statystycznie mniejsza szansa, że akurat na mnie uwezmą się oszuści. Wszystko dlatego, że PESEL jest “tajnym hasłem” do wzięcia pożyczki.

    • Konkretnie komornicy mają system o nazwie Ognivo do guglania rachunków.

    • Dokładnie. Ognivo to system KIRu. Zwykły człek też może go użyć, ale tylko do szukania własnych rachunków.

      Byłbym zapomniał! Po drodze jest jeszcze e-Sąd w Lublinie. Pismo z wyrokiem wysyłają na zmyślony przez oszusta adres. Nawet jak wróci z adnotacją “adres nie istnieje” to sprawa się uprawomocnia bo jest “domniemanie doręczenia”.

      Dopóki sądy będą zasądzać takie zajęcia, to (para)bankom nie bedzie zależeć na wprowadzenie credit freeze czy innych zabezpieczeń.

      PS Trzymajcie kilka tysi w skarpecie żebyście nie musieli iść do “Providenta” albo lombardu po kasę na chleb, czynsz i paliwo.

    • A może konto na e-sądzie w czymś pomoże?

    • Niestety masz rację. Ostatnio był też przypadek księgowej, na którą ktoś wziął kredyt w tym samym banku, w którym już jest klientem, w jednym z dużych – Alior tudzież ING. Przyznali, pomimo tego, że nie zgadzały się dane, a jej prawdziwe mieli już w systemie… dowiedziała się z pism ponaglających spłatę.

  15. Czy w tym przypadku jest w ogóle możliwość złożenia zawiadomienia na policji o kradzieży? Dowód mam fizycznie w ręku. Czy samo zastrzeżenie wystarczy, jeżeli ktoś weźmie kredyt na dane? I co z dostępem do konta? Duplikat SIM przy znajomości tylu danych a potem autoryzacja aplikacji na telefonie z podmienioną SIMką wygląda dość niepokojąco…

  16. Bylem studentem PW, ale w czasach kiedy łączono sie z internetem przez modem w komputerach stacjonarnych, a w komputerach śmigała 95-tka. Na uczelni zawsze panował bałagan, zaś sprawy krytyczne chałturzono. Taki obrót sprawy mnie nie dziwi!

  17. ” Nasz informator wspomniał, że “system jest dużo starszy od RODO, po którego wprowadzeniu nikt nie zajął się dostosowaniem do wymogów prywatności” ”

    Wlasnie dlatego RODO bylo absolutnie potrzebne! Poniewaz sa na tym swiecie skrajne deb*e (i to czesto na waznych stanowiskach) ktorzy nie widza problemu (!) w samym fakcie zebrania i publicznego udostepnienia tego typu informacji…

  18. No to jak trafił na taką złotą żyłę jakiś bystrzak, to jest ustawiony do końca życia.

  19. Wszystkie te osoby powinny teraz otrzymać NOWE NUMERY PESEL i dowody (oraz inne dokumenty, gdzie ten PESEL widnieje) za darmo.

  20. No cóż szykuje się prawdopodobny zalew pozwów do Sądów ws utraty dóbr materialnych i surowej kary od UODO. Niedbalstwo i głupota nie popłaca.

  21. Nie jestem przekonany czy w tym pliku byłyby jakiekolwiek dane osobowe. Po tym co zamieścili, raz że to jest skrypt do tworzenia struktury bazy danych (nikt normalny nie wstawi tam na twardo danych, to wprowadza się raczej oddzielnie z aplikacji), dwa, raczej bazę danych już mają, a nie tworzą nową, trzy, nazwa ‘wielkiej bazy danych z danymi osobowymi’ to….’nowa_main’ ? :p

    Nie mówcie też że ‘zapisali je aby mieć kopię zapasową’, bo od backupu każdy serwer ma oddzielne, specjalne funkcje które nie zapisują nieczego do skryptu SQL

    • Obawiam się, że Twoje przekonania nie mają znaczenia dla twardych faktów. Baza danych założona 12 lat temu i “skoro działa to nie ruszaj” a poza tym: “starych danych nie kasuj, bo mogą być potrzebne”. I jeszcze to: “nie szyfruj bo później może być problem”.

  22. Zapewnienia i oświadczenia firm po takich wyciekach są piękne. Ładnie wyglądają, a w rzeczywistości znaczą tyle co ich procedury bezpieczeństwa. Przynajmniej nie braknie roboty dla bezpieczników ^^

  23. Okej, ale to nijak się ma do skryptu SQLtworzącego strukturę bazy danych. Bazy danych tak nie działają :)

    Bazę się ‘zakłada’ pustą, a dopiero potem wprowadza dane. Wieć jak załozyli ją 12 lat temu, to w skrypcie (= czytaj, instrukcji dla serwera jak stworzyć tabele) tam danych, a na pewno aktualnych, nie będzie.

    Nikt też nie będzie na twardo w skrypt wpisywał danych do komendy INSERT a żeby informatyk na bierząco trzymał gdzieś sobie skrypt z danymi dla wszystkich osób w bazie danych jest po prostu niemożliwe (chyba że komuś się -na prawdę- nudziło).

    W skrócie: Podana informacja nie trzyma się kupy i zawiera przeczące sobie dane.
    Ergo: proponuję weryfikację ‘twardych faktów’ zanim zacznie się je publikować i bezmyślnie wierzyć.

    • Przecież to typowy dump w formacie SQL. Prawdopodobnie z niezbyt przemyślanego systemu do backupów bazy.

    • @Ktoś: widać, że dobrze wychowany jesteś i że z kradzionymi bazami danych nie masz zbyt wiele wspólnego. Tak trzymać! :)

    • @Piotr Konieczny: Ze słownikiem ortograficznym też nie ma zbyt wiele wspólnego. {cyt. “na bierząco” xD}

    • Wiesz Ktosiu, że w skrypcie SQL to możesz nawet filmy trzymać, generować nim dowolne dane i w szczególności do SQL-a możesz zrzucić całą bazę? A sam skrypt możesz wygenerować innym skryptem?
      “Bazę się zakłada pustą, a potem wprowadza dane”, spróbowałem to powiedzieć na głos z poważną miną i zarechotałem. Wiedzę merytoryczną to masz chyba z pierwszego semestru baz danych na PW ;)
      A tak na poważnie, to cieszę się że studia na PW mam już ponad dekadę za sobą. Bo to, co się dzieje jest po prostu smutne (wnioskując w oparciu o publiczne info, takie jak to).

  24. Ma ktoś ten plik? Nie do końca wierzę że się pochwalą każdemu, że “wyciekł”, chciałbym się sprawdzić.

  25. Okej, zwracam honor, faktycznie jest takie coś technicznie możliwe. Tylko nie widzę sensu skoro można normalne kopie zapasowe robić. Aż się prosi aby podpisać ‘funkcja do wyniesienia danych’

    • Dane wynieść można na tysiąc sposobów. A dlaczego skrypt? Ano, skrypt możesz ręcznie poprawić (backupa nie), skrypt jest czytelny (backup nie), skrypt zadziała zawsze (backup może mieć poziom kompatybilności), skrypt można podzielić (backupa nie).. długo by wymieniać. Każde narzędzie ma swoje zastosowanie, to że Ty “nie widzisz sensu”, to nie znaczy, że go nie ma.

  26. Gdyby to bank czy firma pożyczkowa musiała udowodnić, że kredytobiorca jest osobą faktycznie odpowiadającą osobie której dane zostały podane, na przykład za pomocą przedstawienia nagrania z kamer, wówczas można by spać spokojnie i nie martwić się tego typu wyciekami.
    Niestety domniemanie niewinności nie funkcjonuje a sektor bankowy traktowany jest z przywilejami.

  27. Na stronie PW pojawiło się już stanowisko Uczelni.

    https://pw.edu.pl/Aktualnosci/Komunikat-o-mozliwosci-naruszenia-ochrony-danych-osobowych

  28. Przyszedł email od PW. Generalnie przyznają się, że poleciał taki komplet danych:
    imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.

    W skrócie – super…

    • Ten mail to jakaś porażka. Z grubsza PW radzi: ratujcie się sami.
      Ciekawe czy będzie pozew zbiorowy?

  29. Co ciekawe uczelnia nie ma obowiązku przechowywać większości z tych danych. W FAQ możemy przeczytać:
    „4. Dlaczego Ośrodek Kształcenia na Odległość Politechniki Warszawskiej przechowuje takie dane jak imiona rodziców, nazwisko panieńskie matki oraz numery dowodów?
    O tym, jakie dane gromadzi się w czasie przebiegu studiów, stanowi § 14 ust. 2 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz. U. z 2018 r. poz. 1861).”
    Natomiast w rozporządzeniu na które PW się powołuje nie jest napisane nic na temat tych danych
    „2. Do albumu studentów wpisuje się następujące dane dotyczące studenta:
    1) numer albumu;
    2) datę rozpoczęcia studiów;
    3) imiona i nazwisko;
    4) datę i miejsce urodzenia;
    5) numer PESEL, a w przypadku jego braku – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało;
    6) informacje o dokumencie stanowiącym podstawę ubiegania się o przyjęcie na studia:
    a) nazwę szkoły lub okręgowej komisji egzaminacyjnej, numer oraz datę i miejsce wystawienia dokumentu, o którym mowa w art. 69 ust. 2 ustawy – w przypadku studiów pierwszego stopnia lub jednolitych studiów magisterskich,
    b) nazwę uczelni, numer oraz datę i miejsce wystawienia dyplomu ukończenia studiów – w przypadku studiów drugiego stopnia;
    7) nazwę kierunku, poziomu i profilu studiów;
    8) rok studiów, na który został przyjęty;
    9) datę i przyczynę opuszczenia uczelni.”
    Nawet w § 15 mówiącym o bardziej szczegółowych danych przechowywanych w teczce akt osobowych studenta nie ma nic na temat wspomnianych danych
    http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001861/O/D20181861.pdf
    https://pw.edu.pl/Aktualnosci/OKNO-i-naruszenie-RODO-najczesciej-zadawane-pytania

  30. […] poniedziałek informowaliśmy, że nastąpił wyciek danych z Politechniki Warszawskiej, którego objawem było opublikowanie pliku SQL o rozmiarze 2,8 GB, zawierającego dane kandydatów […]

  31. > Z grubsza PW radzi: ratujcie się sami
    Dokładnie. Co teraz trzeba zrobić? Każdy z tych kilku tysięcy osób musi od nowa wyrobić sobie dowód osobisty?
    Kolejna sprawa to dlaczego JA mam się tym wszytkim zajmować skoro to ONI dali dupy i jak widać jedyna ich odpowiedzialność to wysłanie e-mail’a i wstawienie oświadczenia na stronę internetową?

  32. Grupa poszkodowanych na facebook’u
    https://www.facebook.com/groups/711892536216223/

  33. Jaki powod nalezy podac przy wyorbieniu nowego dowodu?
    1. Inne i opis “wyuciek danych” urzad zawiesił, jako niewystraczajcy powod – przyjma taki powod jesli dopiero ktos uzyje skradzinych danych (?!) – UD Warszawa Mokotów.
    2. Zgubienie – Urząd wymaga wtedy skanu zgłoszenia na policję, nie akceptuje numeru sprawy zgłoszonego wycieku (?!)
    Czyli.. dopiero jak ktoś wynajmie na mnie samochód i dokona przestęstawa to dopiero mam złozy wniosek o nowy dowod.. gdzie tu logika :)
    Porady mile widziane

  34. Politechnika twierdzi że w wyciekniętych danych nie było nazwiska panieńskiego matki. Że kolumna w bazie danych była – owszem, ale dla wszystkich pusta i od dawna takie dane nie były zbierane. Redakcjo, czy moglibyście to potwierdzić / zaprzeczyć?

  35. […] krótko informacje, jakie do tej pory się pojawiały. 4 maja informowaliśmy o tym, że nastąpił wyciek z Politechniki Warszawskiej. Widzieliśmy plik SQL o wadze 2,8 GB, w którym  znajdowało się mnóstwo danych, a wśród nich […]

  36. […] że 2 miesiące temu informowaliśmy o potężnym wycieku danych studentów (z wielu roczników). Informator, który przekazał nam informacje o błędach w infrastrukturze Politechniki […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: