14:11
8/5/2020

Wyciek z Politechniki Warszawskiej jest poważny, ale — co istotne — nie każdy ze studentów powinien się nim stresować tak samo mocno. Pojawiają się też mylące informacje w mediach (i uczelni!) na jego temat. Wynika to m.in. z rozbieżności pomiędzy oficjalnymi komunikatami uczelni, a odpowiedziami udzielanymi przez uczelnie poszczególnym osobom i klasycznemu głuchemu telefonowi. Pozwólcie, że wyjaśnimy kilka nieporozumień w oparciu o pytania, które najczęściej nam zadajecie.

Wyciek z Politechniki Warszawskiej to zdecydowanie jeden z najpoważniejszych wycieków nie tylko tego, pełnego wycieków tygodnia. Nie tylko studenci zwracają się do nas z pytaniami w tej sprawie, ale również dziennikarze proszą nas o komentarze. Te pytania uświadomiły nam, że pewne rzeczy wymagają dodatkowego wyjaśnienia ponieważ – wbrew pozorom – nie wszyscy mają powody do paniki, nawet jeśli znajdują się w gronie tzw. ofiar, czyli byli użytkownikami systemu OKNO.

Nadal podtrzymujemy zdanie, że skala i charakter wycieku są bardzo poważne w ujęciu ogólnym. Ale niektórym ofiarom trochę się poszczęściło.

Czy wyciekły 3 GB wrażliwych danych?

Nie. Wyciekło 2,8 GB różnych informacji, wśród których znajdowały się również dane wrażliwe. To duża różnica.

Owszem, pisaliśmy iż wyciekł plik SQL o rozmiarze 2,8 GB, jednak w pliku były różne informacje niewrażliwe. Dość spora objętościowo była baza z mailami przesyłanymi do studentów. Część z nich dotyczy załatwiania spraw, ale część ma charakter powtarzalnych, standardowych wiadomości. Niniejszy zrzut dobrze zilustruje co mamy na myśli.

Z tymi logami maili związany jest inny ciekawy problem. Przykładowo w treściach e-maili ludzie przesyłali informacje o numerach swoich dowodów osobistych. Może się więc zdarzyć, że czyiś numer dowodu nie występował w jakiejś tabeli z miejscem na ten numer, ale za to znalazł się w logach maili bo ktoś sam go uczelni przesłał. Trzeba to mieć na uwadze.

Uczelnia takiej osobie odpowie, że jego numeru nie było w kolumnie “numer dowodu” w bazie. I będzie miała rację. Ale jednocześnie numer dowodu tej osoby i tak wyciekł! Tylko z treści e-maila, która też była w bazie. Ups.

Czy wyciekł komplet danych o każdym?

Nie. Odezwały się już do nas osoby, które zostały powiadomione przez uczelnię o wycieku. Poinformowano je np., że imię panieńskie matki nie wyciekło. Te osoby usłyszały, że

“kolumna o nazwisku matki owszem znajduje się w tym skrypcie ale dane te podobno nigdy nie były wtłaczane”

Czyli, mogą zrozumieć z tego, że nie było nazwisk panieńskich matki w bazie. Ale to nieprawda! W bazie było miejsce na różne dane, choć nie dla każdej osoby wszystkie dane były uzupełnione. Pozwólcie, że zilustrujemy to tak. Dane widocznego poniżej Macieja wyciekły, ale choć imiona rodziców w bazie były to w przypadku Macieja nazwiska panieńskiego matki nie było (jest NULL miedzy imionami rodziców a numerem PESEL).

Natomiast Agnieszka miała pecha, bo w jej przypadku rodowe matki było w bazie.

Nie należy myśleć, że wyciekł komplet danych każdej osoby ujętej w bazie. Nawet w przypadku osób, które były obok siebie w tym samym zbiorze danych, zakres ujawnionych informacji może być różny.

Jeśli jednak uczelnia wiarygodnie nie przedstawi studentom sposobu CO w ICH PRZYPADKU wyciekło, to studenci powinni zakładać najgorsze. Że WSZYSTKO co można było uzupełnić w bazie plus to co przesłali mailem do osób obsługujących ten system.

Uczelnia powinna umożliwić poszkodowanym studentom sposób, w który mogliby oni kierować zapytanie (np. wpisując słowo kluczowe będące nazwiskiem panieńskim ich matki) do jakiegoś sytemu lub osoby, te powinny zwracać odpowiedź, czy takie dane są, czy nie ma ich w bazie. Lepsza będzie osoba z grepem niż serwis internetowy. Bo w przypadku serwisu znów trzeba będzie zapewnić bezpieczeństwo i zwracane dane mogą być fałszywie pozytywne, jeśli np. w bazie są osoby o tym samym nazwisku lub czyjeś nazwisko panieńskie matki jest popularnym słowem (“Jutro”) użytym w jakimś mailu.

Gdzie trafił plik z wycieku?

W niewiele miejsc… prawdopodobnie. Gdzieniegdzie pojawiły się plotki, że ujawniony plik trafił na jakieś forum, że mają go “hackerzy” etc. Nie widzieliśmy żadnego takiego miejsca, a kilka z nich monitorujemy stale.

Plik początkowo był opublikowany w serwisie do hostingu plików (już z niego zniknął). Linka do pliku prawdopodobnie miało kilka osób z branży bezpieczeństwa, z którymi skontaktowała się osoba, która te dane pozyskała. Nic nie wskazuje na to, aby plik został pobrany przez przestępców (choć wiadomo — nigdy nie jest to wykluczone). Jest wysoce prawdopodobne, że sprawca całego zamieszania opublikował plik by pokazać słabości systemu, a nie żeby komukolwiek zaszkodzić.

Uspokojeni? To pamiętajcie, że natura informacji jest taka, że jak coś wyciekło to wyciekło. Nikt, nawet osoba stojąca za tym wyciekiem, nie może dać 100% gwarancji, że plik nie dostał się w ręce kogoś gotowego wykorzystać go w sposób złośliwy.

Uczelnia dostała od nas link do pliku, który wyciekł. Miała wystarczająco dużo czasu by go pobrać i zakładamy, że to zrobiła. W tej sytuacji plikiem tym dysponują również pracownicy uczelni (na innych komputerach niż te, które są serwerami systemu OKNO). I z nich teraz też mogą wyciec, na przykład tak.

Trzeba też pamiętać, że skoro osoba która skontaktowała się z nami mogła się włamać do OKNA i wyciągnąć te dane to – teoretycznie – mogła to zrobić również inna osoba. Wczaśniej. Albo później. Wyciek bądź co bądź pokazał, że ochrona danych na PW w systemie OKNO nie była całkiem szczelna. Wyciek należy traktować jako poważny.

Czy Niebezpiecznik może sprawdzić, czy jestem w bazie?

Nie. Owszem, uzyskaliśmy dostęp do tej bazy i poddaliśmy ją analizie, natomiast nasze działanie miało na celu wyłącznie powiadomienie uczelni i poinformowanie o sprawie. Dokonaliśmy analizy materiałów, wykonaliśmy zrzuty w celu udokumentowania sprawy, zanonimizowaliśmy zrzuty i usunęliśmy bazę. Nie ma tu ironii. Mówimy w 100% poważnie. Bazy nie mamy i kropka.

Czy PW uczciwie informuje ofiary o tym co się stało?

Zapewne tak. Nie znamy całości komunikacji między studentami a uczelnią. Spływają jednak do nas niepokojące wiadomości, stąd też właśnie publikacja tego posta, który rozwieje kilka wątpliwości jakie mają “poinformowani” studenci.

Uczelnia miała wystarczająco dużo czasu aby przeanalizować incydent po swojej stronie. Wiemy też, że wezwała na pomoc ekspertów z zewnątrz. Uczelnia sama uczciwie informowała o katalogu ujawnionych danych i nie zaprzeczała, że np. wyciekły nazwiska panieńskie matek. Rozumiemy, że teraz niektóre osoby, kiedy są przez uczelnie informowane że w ich przypadku te dane nie wyciekły, mogą mieć podejrzenia, że ktoś mija się z prawdą. Ale — jak pokazaliśmy to powyżej — jak najbardziej może tak być, że któryś ze studentów jest w tej części ofiar, która nie miała uzupełnionych wszystkich danych w tym systemie.

Czy to pozwoli niektórym odetchnąć z ulgą? To już ich sprawa. Wyciek nazwiska panieńskiego matki to spory problem. Bo tej danej nie zmienicie w innych systemach, w których ją podaliście, gdzie te informacje są używane do uwierzytelnienia.

Dodamy jeszcze, że naszym zdaniem uczelnia właściwie zachowała się po wycieku. Owszem, poleciła skorzystanie z pewnych płatnych usług, ale postąpiła właściwie wskazując na potencjalne metody ochrony (nawiasem mówiąc, my też polecaliśmy te metody z zastrzeżeniem, że nie są one w 100% doskonałe).

Jak najbardziej uważamy, że winny powinien pokryć koszty ponoszone przez ofiary (tu uczelnia nie zaproponowała zwrotu kosztów tego typu usług), ale smutną, żeby nie powiedzieć brutalną prawdą jest to, że na razie w żadnym z wycieków danych po wejściu w życie RODO nikt, komu dane pociekły nie sfinansował niczego tym, których dane stracił. Wyjątkiem jest apteka Gemini, która przekazała ofiarom drobne upominki.

Wiemy, że niektórzy ze studentów chcą pozwać uczelnie. Będziemy się przyglądać temu procesowi. I jeszcze raz podkreślmy, że w Polsce obecnie nie ma żadnej usługi, która w 100% chroni przed nadużyciami możliwymi do wystąpienia po wyciekach danych, a wymiana dokumentów jest bezpłatna (minus koszt czasu i nerwów — za to możecie próbować dochodzić odszkodowania na drodze prawnej, pytanie).

Czy wyciekły skany dowodów?

Nie. Kilka osób nas o to pytało. Nie wiemy nic o wycieku żadnych obrazów, czy to skanów czy zdjęć. My widzieliśmy tylko wyciek jednego pliku SQL, w którym podczas pobieżnej analizy nie rzuciły nam się w oczy zaencodowane dane plików graficznych będących obrazami dokumentów.

Czy Politechnika Warszawska jest “skompromitowana”?

Nie. Tak. To zależy :) Od kilku dni dziennikarze proszą nas o komentarze i niektórzy sugerują, że powinniśmy totalnie opluć Politechnikę. Bo “przecież to uczelnia techniczna”, bo “powinna się wstydzić”, bo “miała wyciek, jakiego gdzie indziej nie było” itd. Wybaczcie, ale nie podejmiemy tej retoryki.

Politechnika Warszawska pozostaje świetną uczelnią techniczną, a jej studenci nadal mogą być z niej dumni. Wpadka na gruncie administracyjnym w żaden sposób nie przekreśla jej osiągnięć dydaktycznych czy naukowych. To są dwie różne rzeczy. Jesteśmy pewni, że uczelnia wykształciła wielu inżynierów, którzy do podobnych wycieków nigdy by nie dopuścili. Podobne rzeczy moglibyśmy powiedzieć o wielu innych uczelniach technicznych, które też wycieki danych miewały. Niestety, to nie oni najczęściej administrują systemami uczelnianymi.

Problem jest szerszy i dotyczy większej liczby uczelni

Jak już wielokrotnie pisaliśmy (i mówiliśmy o tym dziennikarzom) uczelnie wyższe mają ciągłe problemy z ochroną danych. Wynika to z ogromnej liczby przetwarzanych danych i często z funkcjonowania wielu systemów duplikujących dane. Owszem, trzeba to poprawiać, ale RODO uczymy się ciągle, wszyscy. RODO uczą się biznesy czy instytucje publiczne. To jest proces, który trwa i nie wątpimy, że.  ten wyciek poprawi bezpieczeństwo na niejednej uczelni. I dobrze.

Oby zmieniło się też prawo, które przestaje wymagać tak wielu danych od studentów.Naszym zdaniem Ministerstwo Nauki i Szkolnictwa Wyższego powinno dokonać rewizji przepisów w zakresie tego jakie dane o studentach uczelnie muszą przechowywać. To po pierwsze.

Skutki tak poważnego wycieku mogą się rozciągać na lata, ale naszym zdaniem ten wyciek pokazuje nie tylko słabości PW, ale generalnie pewne szersze problemy z ochroną danych w ogóle.

Weźmy też na warsztat inne, pomniejsze wątki. Choćby kwestię numerów PESEL, o której piszemy od lat. Wiele organizacji uważa PESELe za dane poufne i używa ich do różnych autoryzacji, gdy tymczasem numery PESEL części osób są jawne (np. w KRS). Wiele organizacji używa też PESEL-i jako loginów lub haseł, co nigdy nie powinno mieć miejsca. Czy to jest wina PW, że np. pewne firmy potrafią ujawnić dane zdrowotne na podstawie numeru PESEL? Czy to wina PW, że operatorzy telekomunikacyjni nie zawsze potrafią zapobiec wyłudzeniom kart SIM?

Owszem, PW miała wyciek. Uczelnia się poprawi i życie potoczy się dalej, jednak jest wiele pomniejszych wątków związanych z ochroną danych, w których jest duże pole do poprawy. Pamiętajmy o tym za każdym razem, gdy Niebezpiecznik zamiast pisać o wielkim wycieku będzie narzekał na to, że np. PESEL nie powinien być loginem lub hasłem w jakimś pomniejszym systemie.


Aktualizacja 9.05.2020, 09:22
Dodaliśmy do artykułu informacje o procesie jaki studenci chcą wytoczyć uczelni. Przy okazji, czytając artykuł jeszcze raz, zmieniliśmy też brzmienie kilku zdań, aby jaśniej przekazywały to, co chcieliśmy przekazać, plus dopisaliśmy dodatkowe wyjaśnienia i dodaliśmy linki do innych artykułów, opisujących podobne przypadki. Dorzuciliśmy też akapit o tym, co uczelnia mogłaby udostępnić studentom, aby mogli ze 100% pewnością zweryfikować jakie dane na ich temat wyciekły, a jakie nie, wyjaśniając dlaczego musi to być człowiek, a nie serwis internetowy.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Moje dane są w tym zbiorze, i dziś o 1 w nocy dostałem informację o zmianie hasła na jednej platformie z grami PC. Więc chyba baza jednak lata po sieci, i niektórzy robią z niej już użytek.

    • Jesteś odosobnionym przypadkiem i jakbyś słuchał to byś wiedział że wycieki e-maili i haseł były już na oknie

  2. Strasznie denerwująca jest ta niekonsekwecja. Admina który najprawdopodobniej przez przypadek udostępnił bazę sędziów aresztowano, a przy dziesiątkach innych poważnych wyciekach rządowych stron nikomu włos z głowy nie spadł. Dlatego bardzo mnie cieszą wycieki, które kompromitują państwo z dykty.

  3. > Wiele organizacji uważa PESELe za dane poufne i używa ich do różnych autoryzacji, gdy tymczasem numery PESEL części osób są jawne (np. w KRS)

    This. Powinien być podział na dane jawne i poufne i takie ich potem traktowanie. Chwilowy system to wydmuszka która “jakoś tam działa”

    • No a w takim chronpesel.pl loginem jest właśnie PESEL :D

  4. >Dodamy jeszcze, że naszym zdaniem uczelnia właściwie zachowała się po wycieku. Owszem, poleciła skorzystanie z pewnych płatnych usług, ale postąpiła właściwie wskazując na potencjalne metody ochrony (nawiasem mówiąc, my też polecaliśmy te metody z zastrzeżeniem, że nie są one w 100% doskonałe).

    Dopiero po zrobieniu hałasu w mediach przez studentów. Nie, to nie jest właściwe.

  5. Dlaczego nazwisko panieńskie matki jest tak kluczowe? Gdy dzwoniłem na infolinię banku i chciałem przeprowadzić jakąś operację związaną z kontem lub karta, często pytano mnie o to nazwisko.

    • @Twój nick

      Wydaje mi się, że sam sobie odpowiedziałeś. Kluczowe jest dlatego, że przez niektórych jest za klucz uważane.

  6. > Jesteśmy pewni, że uczelnia wykształciła wielu inżynierów, którzy do podobnych wycieków nigdy by nie dopuścili. Podobne rzeczy moglibyśmy powiedzieć o wielu innych uczelniach technicznych, które też wycieki danych miewały.

    Jak wykształciła, skoro sami nie byli w stanie zabezpieczyć tak istotnych danych? Aby uczyć innych najpierw trzeba samemu opanować dane zagadnienie.

    • @Holter

      osoby uczące i egzaminujące studentów, to inne osoby niż administrujące bazą

    • Osoby wykładające przedmioty związane z bezpieczeństwem komputerowym nierzadko w ogóle nie mają nawet wiedzy o infrastrukturze na PW innej niż większość dydaktyków. Widać to zwłaszcza na elce, gdzie “bogiem” serwera Studia jest jedna osoba, która od początku do końca go kodowała (w perlu, bo kto to słyszał o współczesnych językach programowania aplikacji webowych typu node?) i o niebo lepszy (nawet wizualnie) serwer Studia4 został zarzucony. Inline’owe style, UI na tabelkach (bo kto słyszał o tagach header, section czy footer?). Prace dyplomowe studentów są odrealnione i niemające rzeczywistego zastosowania na uczelni, a szkoda, bo jakby to dobrze przygotować, to nawet osławioną SosnęPW można by reanimować i przestać płacić licencyjny haracz usosowcom.

    • Odpowiem prosto, z praktyki:

      Wyobraź sobie, że jesteś doktorem zajmującym się bezpieczeństwem. Na pół etatu pracujesz w jakiejś firmie IT albo prowadzisz swoją działalność.

      Uczelnia płaci ci 5500 brutto – za prowadzenie zajęć, wykładów, w tym zaocznych w weekendy (za to masz powiedzmy 1500 brutto dodatkowo), osoba zajmująca się na tej uczelni IT dostaje jeszcze mniej. Resztę do pensji zarabiasz w firmie. Zajmuje ci ta praca razem z drugą/firmą większość twojego czasu + weekendy.

      Wiesz co dostaniesz za poświęcenie 150h nad poprawą bezpieczeństwa uczelni? Albo za konsultacje nad przetargiem dla firmy, która ma zaprojektować system? Może zgadłeś – 0zł, w najlepszym przypadku 100zł jakiegoś śmiesznego dodatku (są nieliczne wyjątki).

      Wiesz ile dostaniesz za przygotowanie np. bezpiecznego wiki dla wewn. dokumentów uczelni bo widzisz, że ludzie dokumenty z rad wydziału przesyłają na prywatne maile? 0zł + uścisk ręki rektora + dożywotni obowiązek samodzielnego dbania o bezpieczeństwo tego – jak coś się spieprzy, przyjdą do ciebie. Nawet za 10 lat, nawet jak już nie będziesz miał czasu się tym zajmować, ani zasobów ;).

      Podaj mi jedną osobę, która w takim środowisku ma chcieć coś poprawić w bezpieczeństwie uczelni (dołóż do tego papierologię + beton + uznanie, że nie rozlicza się godzin pracy pracownika uczelni).

    • @stukot
      > osoby uczące i egzaminujące studentów, to inne osoby niż administrujące bazą

      Otóż to. Aby uczyć innych, dobrze jest mieć jakieś doświadczenie praktyczne w danym obszarze, choćby na własnej uczelni.

      @Lukasz032
      > Osoby wykładające przedmioty związane z bezpieczeństwem komputerowym nierzadko w ogóle nie mają nawet wiedzy o infrastrukturze na PW innej niż większość dydaktyków.

      No właśnie. Jak wykształcili, jeżeli nawet nie mieli wiedzy o infrastrukturze uczelni, na której wykładają?

      Inną sprawą jest to, że intuicja podpowiada mi, że gdyby za serwer studia odpowiadała osoba odpowiedzialna swego czasu za przedmiot BSS (Bezpieczeństwo systemów i sieci), to serwer ten pracowałby pod kontrolą systemu MS-DOS i oprogramowania napisanego w Turbo Pascalu.

    • @UczelnianyRandom
      > Odpowiem prosto, z praktyki:
      > (…)
      > Podaj mi jedną osobę, która w takim środowisku ma chcieć coś poprawić w bezpieczeństwie uczelni (dołóż do tego papierologię + beton + uznanie, że nie rozlicza się godzin pracy pracownika uczelni).

      Chcieć, a umieć to są dwie różne rzeczy. I niestety z umiejętnościami (wiedzą) wśród bywa nie najlepiej.

      Z praktyki (WEiTI PW, kierunek informatyka) to jestem z stanie podać przykład wykładowcy systemów operacyjnych, który nie za bardzo wiedział co to jest LD_PRELOAD, wykładowcy bezpieczeństwa systemów i sieci wyjaśniającego działanie wirusów komputerowych na przykładzie przechwytywania przerwań w systemie MS-DOS (działo się to w czasach, gdy na rynku był już Windows Vista). Niedawno (również WEiTI PW, Informatyka) wielokrotnie nagradzany wykładowca prostował swój poprzedni wykład, a dotyczyło to podstawowych pojęć – bajt i RISC.

    • @Leandrew
      Są leśne dziadki, które uczą od 20 lat czegoś i nie potrafią za wiele – jest ich circa mniej niż 1/4. Problem ludzi, którzy za komuny dostali profesurę/doktora/docenta – zgadzam się. Powoli problem wymiera. Natomiast zwrócę uwagę na jedną rzecz: standardowy wykładowca uczący teorii sieci/systemów nie musi być super praktycznym specem i nie będzie. Praca na uczelni kiedyś (i teraz) utrudnia pracę gdzieś indziej i bycie specem w aspekcie praktyki.

      Ja naprawdę podziwiam jak będziesz “chciał i potrafił” za 1/3 pensji rynkowej robić zajęcia, pisać publikacje i robić badania, nadzorować labolatoria i koła naukowe, recenzować publikacje, być promotorem prac (i je czytać), opiniować dokumenty na uczelni, składał po 10 sprawozdań z pracy naukowej i… prowadzisz od jutra przedmioty: Projektowanie systemów i UML, Systemy komponentowe, Elektrotechnika i 3 inne, o których nie masz pojęcia ;). Jednocześnie robiąc to wszystko będziesz oczywiście praktykiem, dodatkowo w wolnych chwilach będziesz zarządzał infrastrukturą (za darmo), będziesz na każdy telefon jak padnie serwer. W niedziele i święta będziesz deployował zmiany w infrastrukturze – umiał front (bo webserver i strona WWW), back, DOSa (bo na tym stoi infr. księgowa), sieć i inne. Wszystko za 5k brutto.

      Znam organizację naukową, gdzie prowadzi się projekty za grube miliony hajsów, infrastruktura warta 1,5mln – adminami jest dwóch młodych kolesi robiących doktorat pracujących po 55+h w tygodniu – administrują tym darmo po tych godzinach bo jednostka się wyparła opieki. Org. nie dokłada ani złotówy, ziomki nie mają ani 1zł dodatku do pensji – bo przecież infrastruktura stoi a uczelnia nie ma budżetu. I teraz pójdzie tam ransomware po jakimś braku aktualizacji serwera, na który potrzeba 30 roboczogodzin żeby wszystko zaktualizować – jak myślisz na kogo uczelnia zrzuci? PS. Gdyby to przerzucili na adminów uczelni – na dostęp do 20gb ramu składałbyś wniosek w 30 kopiach i czekał 8 miesięcy, po czym na instalację paczki dodatkowe 4, bo to nie jest krytyczne. Bo org. zatrudnia jednocyfrową liczbę adminów na 1/n etatu, na grubo ponad milionową infrastrukturę i obsługę 6 systemów zintegrowanych i 1>600 stanowisk komputerowych.

      To jest grubszy problem niż tylko “hurrr durrr, wykładowcy luje” – serio.

  7. >Wycieka baza e-maili przez wpisanie ich w CC
    Niebezpiecznik: hańba! RODO!

    >Wycieka baza peseli, nrów dowodów osobistych
    Niebezpiecznik: ale po co ta panika? Zdarza się, uczelnie w PL i tak są słabo zabezpieczone!

    • Jak maile, to nie hańba i nie rodo, tylko książki :)

    • Marcin napisal ten artykuł, aby przekazać myśl, która jest w tytule, a która najwyraźniej przypadkiem lub celowo przeoczyłeś: “wyciek był poważny ale nie dla każdego tak samo”.

      W ostatnich dniach pisały do nas setki studentów PW. Najwyraźniej ktoś (uczelnia?) wprowadził ich w błąd z różnymi kwestiami dotyczącymi tego wycieku.

      On jest i pozostaje jednym z najpoważniejszych, bo polskie uczelnie, wszystkie, (na mocy prawa!) zbierają w naszej ocenie za dużo danych (to też jest w artykule). Ale, i uważamy że to trzeba podkreślić, nie każdy student z tej bazy miał uzupełnione wszystkie kolumny.

      Teraz rolą uczelni a nie dziennikarzy powinno być przekazanie studentom jakie konkretnie dane w przypadku danego studenta wyciekły. Bo niektórzy – i o tym jest artykuł – nie muszą się tak stresować jak inni. A domyślnie każdy student w Polsce powinien się stresować, bo niezależnie od uczelni zbyt dużo danych na jego temat jego Alma Mater przechowuje, niestety pewnie w jakimś zapomnianym systemie, z którego dane te prędzej czy później mogą wylecieć, jak to pokazywaliśmy w naszym kilku odcinkowym cyklu o uczelnianych wpadkach.

  8. U mnie i znajomych wyciekło nazwisko rodowe matki. Zapewne tylko w wyniku pojedynczych osób było inaczej.

  9. > uczelnie wyższe mają ciągłe problemy z ochroną danych. Wynika to z ogromnej liczby przetwarzanych danych.

    Właśnie. Czas najwyższy na nowelizację ustawy “Prawo o szkolnictwie wyższym” która zmusza uczelnie do gromadzenia mnóstwa danych o studencie.

    Przecież wystarczy imię, nazwisko, PESEL, obywatelstwo, adres do korespondencji, do tego (nieobowiązkowo) adres email i numer telefonu. Numer świadectwa maturalnego powinien być tylko w systemie rekrutacyjnym, pani z dziekanatu na ma żadnej potrzeby ten numer znać.

    Nie ma żadnego powodu by uczelnia przechowywała imiona rodziców, adres zamieszkania/zameldowania cz nazwisko panieńskie matki. Dane nie są niezbędne – więc nie powinny być zbierane i koniec.

    A już kuriozum jest przechowywanie zdjęcia studenta (!) – to są dane biometryczne, zdjęcie powinno być natychmiast kasowane z uczelnianej bazy po wydrukowaniu legitymacji!

  10. Jestem jednym z poszkodowanych. Uczelnia proponuje zwrot opłat poniesionych na “jednorazową usługę zabezpieczającą w standardowym zakresie na okres jednego roku”. To miły gest, ale jak dla mnie wszystkie te systemy to strata pieniędzy, póki istnieją miejsca, gdzie i tak ich nie używają. BIK itp. służą głównie bankom, a nie konsumentom.

  11. Kilka dni temu po raz pierwszy, a mam ten email od kilkunastu lat i bardzo go szanuje, dostalem porno oferty.
    Uzywam generalnie 3 emaili, do totalnego syfu, do powszechnego uzytku i ten do najwazniejszych serwisow. Wczesniej kilka razy do spamu wpadl jakis spam od supportu jakiegos, ale generalnie bylo cicho. Moze przypadek, a moze nie. Dowod na szczescie od dawna inny, ale nazwisko matki wyplynelo…

    Niestety prawda jest taka, ze wszystko w OKNO na sline polepione…
    Teraz sobie przypominam, ze kiedys udostepniono nam jakis ftp. chyba chodzilo o biurokracje w dziekanacie, gdzie bylo pelno roznych dokumentow, taki typowy smietnik “moje dokumenty” w wersji serwer i tak sobie teraz mysle, co moglo byc tam ciekawego gdyby tak sobie zawartosc skopiowac i powoli przeanalizowac…

  12. […] a wśród nich PESELe, numery dowodów i nazwiska panieńskie matek. Potem precyzowaliśmy, że zestaw ujawnionych danych dla każdego studenta mógł być inny. Przyznamy, że ta niekompletność bazy danych od razu nas zastanowiła, bo przecież taka baza […]

  13. Mam pytanie. Czy jest jakiś wpis o tym jakie dane uczelnia może od nas wymagać, a jakich nie?
    Pytanie nasunęło mi się, gdy dostałem do wypełnienia tabelkę na egzamin z angielskiego na uczelni wyższej, gdzie między innymi mam wpisać swój pesel, a samą tabelkę wysłać mailowo.

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: