6/5/2020
Politechnika Warszawska ogarnia skutki wycieku i poinformowała, że miał on miejsce 3 maja. Wiarygodny informator doniósł nam jednak, że inne incydenty z systemem OKNO miały miejsce wcześniej. Winny miał być błąd SQL injection w jednym z plików, który według relacji informatora, po ataku został po prostu skasowany. Aktualizacja: Uczelnia zaprzecza tym doniesieniom.
W poniedziałek informowaliśmy, że nastąpił wyciek danych z Politechniki Warszawskiej, którego objawem było opublikowanie pliku SQL o rozmiarze 2,8 GB, zawierającego potężną dawkę danych kandydatów na studia, pracowników i tysięcy studentów z kilku ostatnich lat. W pliku znajdowały się nazwiska, dane kontaktowe, numery ewidencyjne, hasła, a także dane z dokumentów, które uczelnie na mocy prawa mogą zbierać, ale — na co już zwracaliśmy wielokrotnie uwagę — wydaje się to być zbędne i groźne. M.in. przez takie nadmiarowe w naszej opinii zbieranie danych przez uczelnie skalę i charakter wycieku można śmiało określić jako zatrważające.
SQL injection nie umarł
Teraz mamy kolejne, niestety złe wiadomości. Wiele wskazuje na to, że włamanie do systemu nie było pojedynczym zdarzeniem. Wiarygodny informator doniósł nam, że włamania do systemu OKNO następowały nie raz, a jedno z nich miało miejsce już na przełomie roku. Co gorsza, pracownicy PW mogli wiedzieć o tych zdarzeniach, ale nie uruchomiono komunikacji na temat wycieku. Wedle relacji informatora, ograniczyli się jedynie do usunięcia pliku zawierającego błąd. Informacje w tym zakresie otrzymaliśmy od osoby anonimowej, która dysponowała przekonującymi dowodami.
W związku z tymi informacjami skierowaliśmy nowe pytania do rzeczniczki prasowej Politechniki Warszawskiej. Czekamy na odpowiedzi. Uczelnia zaprzeczyła tym informacjom (zob. aktualizację na końcu tekstu).
Politechnika Informuje o wycieku
Politechnika Warszawska rozesłała już do studentów “zawiadomienia” o wycieku. Wynika z nich, że do wycieku doszło 3 maja. Potwierdzono zakres danych objętych wyciekiem (nazwiska, PESEL-e, dane kontaktowe, imiona rodziców, daty urodzenia). O sprawie mają być powiadomione organy ścigania i UODO (na powiadomienie urzędu PW ma 72 godziny od stwierdzenia naruszenia). Zalecono wymianę i zastrzeżenie dowodów osobistych a także ustawienie alertów. Dodatkowo użytkownicy logujący się po 1 marca zostali poproszeni o samodzielną zmianę haseł.
Warto też dodać, że PW opublikowała FAQ dla stuednów, w którym informuje o możliwości sprawdzenia, czy figuruję się na liście osób, których dane osobowe zostały ujawnione? Informację można uzyskać drogą mailową pisząc na pomoc.okno(at)pw.edu.pl.
Poniżej pełna treść “zawiadomienia” PW.
ZAWIADOMIENIE
Informujemy, że w dniu 3 maja 2020 w wyniku nieuprawnionego uzyskania dostępu do informacji poprzez złamanie zabezpieczeń nastąpiło nieuprawnione pobranie Pana/Pani danych osobowych z Platformy administracyjnej Ośrodka Kształcenia na Odległość PW (OKNO), w związku z czym może nastąpić nieuprawnione wykorzystanie tych danych.
W Pan/Pani przypadku ujawnieniu uległy następujące dane: imię i nazwisko, seria i nr dowodu osobistego, nr PESEL, adres, imiona rodziców, nazwisko rodowe matki, data urodzenia, adres e-mail, nazwa użytkownika, nr telefonu, adres zamieszkania lub pobytu, historia postępów w studiowaniu.
O naruszeniu ochrony danych osobowych Politechnika Warszawska powiadomi niezwłocznie Urząd Ochrony Danych Osobowych (UODO) oraz Policję.
W związku z�powyższym, pod adresem: pomoc.okno@pw.edu.pl można uzyskać więcej informacji.
W wyniku przedmiotowego naruszenia ochrony danych osobowych, istnieje prawdopodobieństwo wystąpienia dla Pani/Pana negatywnych skutków w postaci:
- uzyskania przez osoby trzecie na Pani/Pana szkodę kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np.: przez internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej Pani/Panu przysługujących, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- korzystania z praw obywatelskich np. do głosowania nad środkami budżetu obywatelskiego;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla Pani/Pana negatywne konsekwencje, w postaci problemów związanych z próbą przypisania Pani/Panu odpowiedzialności za dokonanie takiego oszustwa;
- zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie dla Pani/Pana negatywnych konsekwencji w postaci zadłużenia;
- zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
- przetwarzania danych osobowych w celach marketingowych, bez uprzedniego uzyskania Pani/Pana zgody.
W związku z powyższym w celu zminimalizowania ewentualnych negatywnych skutków naruszenia, proponuję:
- zastrzeżenie danych w banku;
- zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK (gwarantujące otrzymywanie alertów w przypadku prób uzyskania kredytu na zastrzeżone dane osobowe) oraz w rejestrze dłużników BIG InfoMonitor; usługi w zakresie zapobiegania próbom wyłudzenia kredytu lub pożyczki świadczy ponadto Platforma ChronPESEL.pl. Użytkownik konta w serwisie ChronPESEL.pl jest informowany natychmiast sms-em, gdy ktoś próbuje zaciągnąć kredyt na jego konto, a jeśli by do wyłudzenia doszło, otrzymuje wsparcie prawne;
- zastrzeżenie numeru PESEL poprzez aktywowanie usługi Bezpieczny Pesel przez CRIF Poland,
- zgłoszenie faktu naruszenia danych właściwym organom, w celu zapobieżenia tzw. „kradzieży tożsamości”;
- ewentualną wymianę dowodu osobistego;
- zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu.
Aby zapobiec potencjalnym wykorzystaniem wykradzionych skrótów haseł (jeśli osoby dotknięte wyciekiem danych używały tego samego hasła do logowania w Centralnym Systemie Uwierzytelniania PW):
- Jeśli użytkownik logował się po 1 marca br., zalecamy samodzielną zmianę hasła w Centralnym Systemie.
- Jeśli użytkownik nie logował się po 1 marca br., hasła zostały wygenerowane losowo. Po ich odzyskanie prosimy o zwrócenie się do właściwych dziekanatów.”
Wyjaśniam, iż po zalogowaniu się w BIK (Biurze Informacji Kredytowej) instytucje finansowe, które przystąpiły do systemu, nie udzielą kredytu na zastrzeżone dane. W pakiecie użytkownik otrzymuje powiadomienia (alerty) o możliwych próbach wyłudzenia kredytu na zastrzeżone dane osobowe, a jeżeli w Rejestrze Dłużników BIG InfoMonitor pojawia się zapytanie, to system powiadamia o tym, że na zastrzeżone dane osobowe ktoś chce np. podpisać umowę na abonament komórkowy. Podobnie działa platforma ChronPESEL.pl. W systemie BIK można również dokonać zastrzeżenia dowodu osobistego. Można również skorzystać z usługi bezpieczny PESEL oferowanej CRIF Poland, która zabezpiecza przed wzięciem pożyczek (w tym również chwilówek) na podstawie zastrzeżonych danych. Zastrzeżenie w tej usłudze jest dostępne dla firm pożyczkowych, które przystąpiły do tego programu.
Ewentualnie można rozważyć możliwość wymianę dowodu osobistego. Sposobów jest kilka – można złożyć papierowy wniosek w urzędzie gminy lub elektroniczny formularz na stronie internetowej. Czas oczekiwania na wydanie nowego dowodu to 30 dni. ydanie i wymiana dokumentu jest bezpłatna. Od 4 marca 2019 roku wydawany jest jedynie e-dowód, czyli dowód z warstwą elektroniczną.
Jednocześnie zapewniam, iż Administrator Danych Osobowych podejmie wszelkie możliwe działania w celu wzmocnienia ochrony danych osobowych, tak, aby podobna sytuacja nie miała miejsca w przyszłości.
Prof. dr hab. inż. Stanisław Wincenciak
Prorektor ds. rozwoju
Aktualizacja 7.05.2020 8:37
Izabela Koptoń-Ryniec, Kierownik Sekcji ds. Komunikacji Społecznej i Mediów pełniąca zadania rzecznika prasowego PW odpowiedziała nam na pytania dotyczące informacji przedstawionych w tym tekście.
Szanowny Panie Redaktorze,
w odpowiedzi na maila z dnia 6 maja 2020 roku uprzejmie wyjaśniam, iż wyciek danych osobowych z systemu OKNO w dniu 3 maja 2020 roku jest pojedynczym przypadkiem. Wcześniej nie było żadnych incydentów z wyciekiem danych osobowych podlegających zgłoszeniu do UODO. Nie polegają więc na prawdzie twierdzenia, że włamania do systemu i wycieki następowały kilka razy, a osoby administrujące systemem zatajały te fakty. Rozpowszechnianie takich informacji wprowadza jedynie niepotrzebny chaos informacyjny i rozbudza nieuzasadnione obawy osób, których danymi administruje PW. Doceniamy Państwa zaangażowanie w przekazywanie rzetelnych i sprawdzonych informacji. W związku z tym prosimy, aby niniejsza odpowiedź została upowszechniona na Waszym portalu.
Rzuciło nam się w oczy, że odpowiedź nie wspomina o absolutnym braku incydentów wyciekowych ale o braku incydentów “podlegających zgłoszeniu do UODO”. Możemy chyba jednak uznać, że są rozbieżności między stanowiskami politechniki i informatora zbliżonego do sprawy. W sumie mogą one prowadzić do jednego, raczej pocieszającego wniosku. Najwyraźniej nie stało się nic na tyle poważnego, aby PW musiała teraz do tego wracać, a z całą pewnością na uczelni trwało i może dalej trwa intensywne dochodzenie dotyczące ostatniego wycieku.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
[…] Mamy kolejne, niestety złe wiadomości. Wiele wskazuje na to, że włamanie do systemu nie było pojedynczym zdarzeniem. Wiarygodny informator doniósł nam, że włamania do systemu OKNO następowały nie raz, a jedno z nich miało miejsce już pod koniec 2019 roku lub na początku bieżącego roku. Więcej w nowym artykule pt. Wyciek z Politechniki Warszawskiej: Mogło być więcej niż jedno włamanie […]
Próbuję unieważnić swój dowód osobisty. Na stronie https://www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci–uniewaznij-dowod jest informacja że potrzebuję “potwierdzenie w formie dokumentu elektronicznego, że zgłosiłeś kradzież tożsamości do organu ścigania (np. policji, prokuratury)”
Czeka mnie (i kilka tysięcy osób) teraz wycieczka na komisariat?
cytat za https://pw.edu.pl/Aktualnosci/OKNO-i-naruszenie-RODO-najczesciej-zadawane-pytania
Zgłoszenie jest zarejestrowane w KRP Warszawa I pod numerem JED-159210/20.
Zgłoszenie przez Ciebie takiego przestępstwa ma sens dopiero w przypadku gdy ktoś spróbuje twoich danych użyć, bo dopiero wtedy zachodzi przestępstwo. W innym przypadku nie trzeba zgłaszać tego na policję tylko unieważnić dowód i wyrobić nowy.
Dodam jeszcze jedną rzecz tytułem wyjaśnienia i może wskazówki- ja zostałem poinstruowany w urzędzie żeby złożyć wniosek o utraceniu dowodu (podobno upublicznienie podchodzi pod utratę) i dopiero wtedy złożyć wniosek o nowy dowód z zaznaczeniem powodu: utrata.
Adam czyli sugerujesz, że jeśli ktoś ukradnie mi komórkę to nic się nie dzieje i dopiero jak zacznie z niej dzwonić to mogę zgłosić kradzież? To są dane osobowe, do których nikt nie powinien mieć dostępu. Jeśli ktoś je pobrał, to już nastąpiła kradzież danych. Dodatkowo nie polecam zaznaczania opcji zgubienia dokumentów, w przypadku próby uzyskania zadośćuczynienia (chociażby zwrotu kosztów wyrobienia nowego dowodu) jeśli zgłoszone będzie zgubienie dowodu to nie będzie się dało nic wywalczyć.
Rafał, nie ja to wymyśliłem tylko powtarzam to co powiedział prawnik z PW i mój prawnik. Komórka jest rzeczą materialną, dowodu nikt Ci nie ukradł fizycznie, nadal go masz. Wykradziono twoje dane którymi administrowała uczelnia i uczelnia ma obowiązek zgłosić to na policję, bo włamano się na jej serwery. Z tego co wiem to jest już sygnatura sprawy. Przeczytaj co oznacza kradzież tożsamości według KK. Przepisy które cytuje kolega wyżej dotyczą nieuprawnionego wykorzystania tych danych przez osoby trzecie, musisz mieć informacje, że coś takiego miało miejsce żeby zgłosić i ujawnić przestępstwo. Ostatnia sprawa- wyrobienie nowego dowodu nic nie kosztuje, więc nie wiem o jakim odszkodowaniu tytułem jego wyrobienia piszesz. Zresztą co ma wyrabianie nowego dowodu do potwierdzonego faktu wykradzenia danych z serwerów uczelni? Uważasz, że to zamyka/utrudnia drogę do uzyskania odszkodowania? Na jakiej podstawie?
@Wojciech.
…a to Ty jeszcze nie byłeś na komisariacie żeby złożyć zawiadomienie o popełnieniu przestępstwa (i przy okazji zgłosić kradzież dowodu) ???!!!
Gratuluję wyluzowania !
Jeżeli wszyscy poszkodowani nie zbierzecie się i nie złożycie pozwu zbiorowego przeciwko rektorowi tej uczelni to jesteście miękimi fajami !
Dopóki Ci którzy odpowiadają za instytucję z której wyciekają dane, nie zaczną być dojeżdżani finansowo z tytułu odszkodowań – to nic się nie zmieni w tym temacie
Czy moglibyście udostępnić listę numerów indeksów z tej bazy?
PW twierdzi że to tylko obecne roczniki wyciekły, w co chyba mało kto wierzy.
Ja wiem że moje dane wyciekły bo dostałem maila, ale osoby które już nie studiują nie dostały takiej informacji oficjalnie.
Mnie wywalili z PW w 2k18 i dostałem tego maila
Ja studiowałem tam w roku 2014 i też dostałem tego maila, tak więc myślę że chodzi o kilka roczników wstecz.
Pytanie – czy jeśli od tamtego czasu zdążyłem zmienić dowód osobisty to coś mi grozi? Ktoś może wziąć kredyt na mój stary dowód osobisty?
Niestety pozostałych danych nie da się zmienić…
JA studiowałem tam (na szczęście krótko) w 2014 roku i też dostałem tego maila. Tak więc chodzi o co namniej 6-7 roczników.
Czy jeżeli od tamtego czasu zdążyłem zmienić dowód to coś mi grozi? Może ktoś wziąć kredyt na dowód osobisty który już wygasł?
Ja już nie jestem studentem od 9 lat a dostałem tego emaila. Ciekawe czy została zasana baza nawet archiwlanych studnetów. Masakra
Byłeś w tej samej bazie tylko z przedrostkiem arch_ ;)
Uczelnia zaprzeczyła tym informacjom, wprost powiedzieli, że “zaprzeczają informacjom umieszczonym na Niebezpieczniku”, bo ktoś zadał to pytanie o wyciek w 2019 r. powołując się na Wasz artykuł. Właśnie teraz na oficjalnym spotkaniu (spotkani on-line z prorektorem ds. studenckich i prawnikiem, 13:00) :).
W takim razie rzeczniczka uczelni może nam odpowiedzieć i oficjalnie zaprzeczyć (pytaliśmy o to). Oczywiście opublikujemy jej stanowisko gdy tylko do nas dotrze. Mamy nadzieję, że zostanie to sprawdzone.
Niebezpiecznik.pl jesteście pewni że UODS został poinformowany o zajściu?
Dzisiaj dostałem o. 10:30 informacje na infolinii że nie zostali jeszcze poinformowani.
Możesz mieć rację. W komunikacie napisano, że będzie to “niezwłocznie” zrobione (a mogą to zrobić nawet 72 godziny po stwierdzeniu naruszenia.”). Możliwe, że proces zgłaszania jeszcze trwa. Poprawimy tekst.
Nie zgłosili tego dotychczas do UODS. Dopiero mieli to zrobić dzisiaj po spotkaniu z prorektorem (dzisiaj po 13:00) ze względu na naciski poszkodowanych (informacja ze spotkania; ale czy do tego doszło, nie wiadomo).
Ma ktoś ochote na pozew zbiorowy? Skonczyłem nauke u nich w 2016, dostałem wczoraj maila i powiedzieć że jestem w……y to mało powiedziane
Ja mam średnią ochotę patrząc na dotychczasowe orzecznictwo. Musisz wykazać szkodę. Jeżeli ktoś wziąłby na twoje dane kredyt, obciążył Cię, wplątał w przestępstwo to wtedy masz uzasadnione powody żeby rościć sobie prawa do odszkodowania, w innym przypadku ta szkoda jest potencjalna, jeszcze się nie wydarzyła. Ciężko będzie się sądzić o to, że trzeba było wyrobić nowy dowód i opłacić BIK za dwadzieściaparę złotych
Ja mam.Będzie łatwo wygrać.
Ja mam.
Składamy. Załóżcie miejsce do kontaktu.
Ale trzeba przyznać, że “zawiadomienie” staranne, dużo wprost powiedzianych rzeczy i wyjaśnień.
Szkoda, że jak zawsze po szkodzie :(
Komedia. Po co te wszystkie zabezpieczenia na dowodzie typu hologramy, skoro można wziąć kredyt na same dane? Może niech mennica drukuje dowod na papierze toaletowym, efekt będzie ten sam, a wyjdzie taniej.
Kiedy wreszcie domniemanie niewinności zacznie obowiązywać w tym kraju i każdy kto oskarża kogoś o wzięcie kredytu (najczęściej robi to bank) będzie musiał to udowodnić np. pokazując nagranie z kamer?
Rządzący zwykłych ludzi mają gdzieś. Gdy jakiś czas temu zaostrzali prawo odnośnie kar za np. podrabianie weksli (do 25 lat), co im szkodziło podciągnąć pod takie kary wyłudzenia na nieswoje dane? Wolą robić laskę bankom (bo to one najbardziej skorzystały na tym prawie), a plaga wyłudzeń ich nie obchodzi. Radź sobie szary człowieku
sam.
Dzięki za ten głos rozsądku i wskazanie prawdziwego problemu. To system/państwo jest obłudne wprowadzając jakieś przepisy rzekomo chroniące dane osobowe. To kiedyś już na forum niebezpiecznika padło: “to nie dane obywatela powinny chronione, tylko obywatel powinien być chroniony”. System/państwo nie jest zainteresowane wcale takim podejściem. Lepiej jest chronić system bankowy niż obywatela-frajera, każąc spłacać mu dług, którego nie zaciągnął. Np. PESEL wycieka z każdym podpisem elektronicznym. Każdy kto ma dokument podpisany elektronicznie np. fakturę, może z niej odczytać podstawowe dane osoby: imię, nazwisko, pesel, datę urodzenia, płeć. Czy to wystarczy do zaciągnięcia kredytu? To oczywiście według systemu/państwa nie jest wyciek danych, tylko element normalnego procesu w społeczeństwie informacyjnym. Z innej strony, system/państwo wprowadza “nowoczesne” rozwiązania cyfrowych tożsamości mObywatel, eDowód, Profil Zaufany. Czy bank/parabank nie powinien dochować należytej staranności przy weryfikacji tożsamości kredytobiorcy korzystając z tego typu rozwiązań? Czy też wygodniej jest mu udzielić kredytu na podstawie “okazania danych”, a następnie korzystać ze wsparcia państwa (komornik) przy ściąganiu długu z ofiary przestępstwa. Dlaczego w przypadku wyłudzenia kredytu, państwo nie stanie w obronie obywatela (ofiary) tylko będzie chronić bankiera, obarczając winą, kogoś kto nie zawinił? Dopóki ta sytuacja nie zostanie odwrócona, będzie dalej bicie piany. Twoje dane wyciekły, to miej się na baczności, bo ktoś może wziąć kredyt na ciebie.
To nie jest tak, że ktoś weźmie wiążący cię prawnie kredyt – ktoś podrobi twój podpis i to nie będzie wiążąca umowa.
Problem w tym, że ta firma o tym nie wie i będzie wzywać do zapłaty, pozywać cię itd. I to ty musisz to odkręcić, udowadniać że to nie byłeś ty. Więc dowód warto wcześniej zastrzec, żeby nie było wątpliwości że to nie byłeś ty.
Co do BIK – to nie chroni przed wszystkimi kredytami, bo chyba nie obejmuje firm pożyczkowych. To nie jest żaden urząd, tylko prywatna firma, która dogadała się z bankami.
Hmm nie studiuję tam już od dawna, oraz na pewno nie używam tego samego maila co wtedy. Nie czuję się poinformowana o wycieku moich danych.
“oraz na pewno nie używam tego samego maila co wtedy”
może ktoś inny go używa
A ja maila od PW nie dostałem, a w myśl wszystkich znaków na niebie i ziemi powinienem (miałem konto na platformie OKNO w 2010 roku). W historii maila mam wiadomości z PW, więc domniemuję, iż to na ten adres miałem zarejestrowane konto. Lucky me, czy wręcz przeciwnie? ;)
A może Niebezpiecznik uruchomiłby “Have I Been Pwned”? Tylko tutaj po np SHA256 numeru albumu, albo peselu? W ten sposób Niebezpiecznik nie przetwarza tych danych… tylko ich hashe, a absolwenci mogą sprawdzić, czy aby ich dane nie poszły w świat, tylko PW mając złego maila nie dała rady ich skutecznie powiadomić.
Czy wystarczy zastrzec PESEL? Czy trzeba jeszcze zmienić dowód?
A niby w jaki sposób chcesz zastrzec PESEL?
PESEL nadaje Ci państwo od czasów głębokiej komuny jako niepowtarzalny i niezmienialny identyfikator, żeby łatwo zbierać w jeden zbiór informacje o Tobie z różnych baz.
Dlatego z wyciekiem nic nie możesz zrobić, bo istotą numeru PESEL jest właśnie maksymalizacja wiedzy Państwa o Tobie.
Wnioski wyciągnij sama.
Ciekawe czy uczelnia będzie zwracała koszty które trzeba będzie ponieść – bo sama usługa alert BIK to kilkadziesiąt złotych.
Aby zastrzec Pesel w tych firmach, które zostały wymienione w mailu z PW, to trzeba podać jeszcze więcej danych, a nawet jeden portal chce skan dowodu osobistego. Czyli rozsyłasz dane do kolejnych podmiotów prywatnych, ale może nie wyciekną od nich przez kilka lat :)
I tu trafiasz w sedno. Marcin na webinarze dość dobrze ten problem opisał. Jak zwykle — trzeba zrobić analizę ryzyka. Czasem nie warto korzystać z usługi, która nie daje 100% gwarancji ale wymaga większej ilości danych niż te które wyciekły.
Niestety i do mnie ten mail od OKNO dotarł, co ciekawe dopiero dziś rano.
I tu właśnie też się zastanawiam, co jest wystarczające żeby się zabezpieczyć? Traf chciał że kilka tygodni temu wyrabiałem sobie nowy dowód osobisty, czy powinienem robić coś jeszcze? Czy na podstawie innych danych ktoś może coś zrobić?
Na marginesie, to PESEL jest podawany w tak wielu miejscach, zawsze razem z innymi danymi, że nie powinien być nigdzie brany pod uwagę jako uwierzytelnienie.
Przykład? Rejestracja do rekrutacji WAT wymaga podania PESEL jako loginu.
Dla mnie to jest niesamowity skandal. Moje dane też wyciekły z tej uczelni. Na szczęście mam już inny dowód osobisty. Uczelnia zaleca zastrzec dowód i kredyty w BIK. Tyle, że to niewiele pomoże.
Administratorzy sieci i baz danych powinni odpowiedzieć karnie, za niewłaściwe zabezpieczenie i udostępnienie osobom nieupoważnionym danych osobowych.
Po pierwsze nie do pomyślenia jest, aby baza danych z danymi osobowymi studentów była dostępna w zewnętrznej sieci. Nie ma dla tego żadnego uzasadnienia. Taka baza powinna być wyłącznie w sieci wewnętrznej, zabezpieczonej przed dostępem z zewnątrz. I nawet nie mam tu na myśli routingu cebulowego i pułłapek, tylko fizyczne odcięcie sieci.
Druga rzecz, to jak takie dane mogły być nie szyfrowane w bazie danych?
I na tej Politechnice naucza się studentów informatyki. WSTYD! Przykre jest to, że byłem na wielu konferencjach o bezpieczeństwie, szkoleniach itd. Spotkałem chyba setki administratorów. Niesamowita większość, nie ma pojęcia, albo nie chce wdrażać skutecznego bezpieczeństwa. Przykładem są banki. Sam pracuję w banku w departamencie bezpieczeństwa, więc wiem coś na ten temat.
Szanowna Pani/Szanowny Panie,
informujemy, Ĺźe w bazie danych, ktĂłra zostaĹa w sposĂłb nieuprawniony pobrana z serwera OKNO red.okno.pw.edu.pl
w dniu 3 maja 2020 umieszczone byĹy nastÄpujÄ ce Pani/Pana dane:
* ImiÄ
* Nazwisko
* Login
* Hash hasĹa
* Numer Telefonu
* Numer Pesel
* ImiÄ Ojca
* ImiÄ Matki
* Adres Zamieszkania
* Adres do korespondencji
* Numer NIP
* Numer Dowodu Osobistego
Weryfikacji numeru dowodu moĹźna dokonaÄ na stronie pod adresem:
1. Dużo łatwiej jest zastrzec dowód osobisty na infolinii swojego banku lub w Urzędzie Dzielnicy.
2. Jak najbardziej należy zgłosić na policję zawiadomienie o możliwości popełnienia przestępstwa nieuprawnionego wejścia w posiadanie danych osobowych. To podkładka, gdyby ktoś wziął na nas kredyt.
Podstawowa zasada – NIGDY, ale to NIGDY nie należy niczego odkładać i czekać, może to jakoś będzie, albo jak coś się stanie, to zadziałam.
Znacie powiedzenie Polak mądry po szkodzie? Niestety jest nieprawdziwe. Polak dalej głupi jest po szkodzie, a w dodatku, po przestępstwie z użyciem skradzionych danych, taki Polak będzie miał poważne kłopoty i naprawdę ciężej będzie mu wszystko odkręcić.
“Próbuję unieważnić swój dowód osobisty. Na stronie https://www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci–uniewaznij-dowod jest informacja że potrzebuję “potwierdzenie w formie dokumentu elektronicznego, że zgłosiłeś kradzież tożsamości do organu ścigania (np. policji, prokuratury)”
Czeka mnie (i kilka tysięcy osób) teraz wycieczka na komisariat?
mk 2020.05.06 13:56 | # |
cytat za https://pw.edu.pl/Aktualnosci/OKNO-i-naruszenie-RODO-najczesciej-zadawane-pytania
Zgłoszenie jest zarejestrowane w KRP Warszawa I pod numerem JED-159210/20.
Adam 2020.05.06 15:05 | # |
Zgłoszenie przez Ciebie takiego przestępstwa ma sens dopiero w przypadku gdy ktoś spróbuje twoich danych użyć, bo dopiero wtedy zachodzi przestępstwo. W innym przypadku nie trzeba zgłaszać tego na policję tylko unieważnić dowód i wyrobić nowy”.
“2. Czy są Państwo w stanie zweryfikować, że ataku dokonano metodą SQL injection?
Analiza audytora wykazała, że był to backdoor, a nie SQL injection.
3. Kiedy uczelnia dowiedziała się o styczniowym backdoorze?
Dopiero przy okazji analizy związanej z bieżącym wyciekiem. W styczniu nastąpiło włamanie na konto jednego z wykładowców i w ten sposób został zainstalowany niepożądany plik”.
[…] również, że osoba informująca nas o wycieku informowała także o innych, wcześniejszych atakach na system OKNO, ale rzeczniczka uczelni zaprzeczyła. Rzeczniczka uczelni zasugerowała nam wówczas, że nie […]
[…] w infrastrukturze Politechniki Warszawskiej twierdził i pokazywał wiarygodne dowody na to, że po systemach Politechniki buszował od pół roku. Choć baza zawierała ogrom danych, to nie każdy student stracił komplet informacji, jakie z […]
[…] danych studentów i absolwentów PW z systemu OKNO, potem na jaw wyszło, że dane z serwerów PW zostały skopiowane wiele miesięcy wcześniej. Reakcja na te dwa incydenty nie zadowoliła włamywacza i w kolejnym ataku wszedł w polemikę z […]