9:40
29/9/2022

Wczoraj do studentów UMED-u wewnętrzną pocztą dotarła wiadomość od rektora. Pracownicy i studenci dowiedzieli się z niej, że — podobnie jak w przypadku SGH kilka dni temu — na skutek “błędu w systemie” doszło do naruszenia ochrony danych osobowych, które zostało sklasyfikowane jako naruszenie o wysokim ryzyku dla “praw i wolności osób”.

Co się stało? System Wirtualnej Uczelni wyświetlał niewskazaną dokładnie w zawiadomieniu listę dokumentów przez niewskazany zbyt dokładnie czas niewskazanej liczbie osób. No, to teraz już wiecie, że o wycieku można poinformować w sposób naprawdę pełny (jak zrobiło to SGH) a także w sposób …zgoła inny, jak to zrobił UMED.

Oto pełna wiadomość zawiadomienia:

Jestem studentem UMED-u, co robić, jak żyć?

Po pierwsze, zachęcamy każdego studenta i absolwenta (bo przecież z zawiadomienia wprost nie wiadomo, czy wyciek także ich nie dotyczył) do przesłania pytań bezpośrednio na adres uczelnianego IOD, czyli Pani Katarzyny lub/i wprost do Pana rektora. Skoro doszli oni do wniosku, że wyślą wam zawiadomienie w formie tak zdawkowej, to pewnie bardzo chcieli porozmawiać z każdym z was prywatnie i każdemu odpowiadać na te same pytania z osobna. Rok akademicki jeszcze się nie zaczął, wiec pewnie mają na to sporo czasu…

Tak, ironizujemy, ale naszym zdaniem takie zawiadomienia należy piętnować, zwłaszcza, że SGH niedawno pokazało jak zawiadamiać o incydentach poprawnie, rzetelnie, w sposób pełny. Piętnować należy też postawę

daliśmy ciała, więc teraz wy sobie kupcie na swój koszt tę albo inną usługę, która Wam może pomoże, a może nie

Wstyd. Co więc powinni zrobić studenci? Przede wszystkim naciskać na władze uczelni, aby wskazały:

    ILE OSÓB (a jeśli się da, to KTO DOKŁADNIE) miał dostęp do KTÓRYCH konkretnie dokumentów zawierających JAKIE KONKRETNIE Wasze dane. To da się zrobić na podstawie logów z systemu. Chyba, że logów nie ma…

 


Aktualizacja 29.09.2022, 11:18
Otrzymaliśmy informację od osoby bliżej znającej tę sprawę. Wg niej, dostęp do danych miały “osoby posiadające dostęp do Wirtualnej Uczelni (prawdopodobnie też tylko te, które miały wydaną przez Uczelnię jakąkolwiek decyzję)”. Wyciek danych dotyczył na pewno wniosków oraz decyzji Uczelni. Zatem dane jakie potencjalnie wyciekły to właściwie wszystkie dane osobowe + sytuacja materialna + sytuacja życiowa/rodzinna.

W zakładce “studia” był dział “decyzje”. To tam pojawiały się pliki innych studentów, na przykład wniosek o zapomogę z pełnymi danymi osobowymi + informacją, że np. danego dnia zmarł ojciec studenta, który był jedynym żywicielem rodziny.

Osoba, która się z nami skontaktowała poinformowała, że z jej perspektywy reakcja uczelnianego IOD była szybka. Od momentu pozyskania informacji o problemie do usunięcia wycieku minęła godzina. Jeśli zestawimy to z informacją z uczelni, że ekspozycja danych trwała “kilka godzin”, to wygląda na to, że zmiana programistyczna która spowodowała błąd była wdrożona wcześniej, tego samego dnia.

Od osoby, która ma dostęp do Wirtualnej Uczelni i dokumentów, które tam się znajdują wiemy, że pojawiają się w nich co najmniej takie dane:

    Imię i nazwisko
    Tel. kontaktowy
    Adres e-mail wnioskodawcy w systemie e-student
    Adres zamieszkania i korespondencyjny
    Data i miejsce urodzenia
    Imię ojca
    numer PESEL
    Kierunek studiów
    Numer dyplomu
    Średnia ocen egzaminacyjnych
    Specjalność
    Rok studiów
    Forma studiów
    Powód wniosku o zapomogę

 


Aktualizacja 30.09.2022, 13:56
Otrzymaliśmy wczoraj w nocy wiadomość od rzeczniczki Uniwersytetu Medycznego w Łodzi, Joanny Orłowskiej. Znajduje się w niej taki zarzut:

Liczne używanie sformułowania „wyciek danych”, w tym odnoszący się do tego tytuł artykułu, jest nadużyciem. Naruszenie polegało na nieuprawnionym dostępie określonej liczby odbiorców do danych osobowych pojedynczych studentów. Wskutek naruszenia nie doszło do rozpowszechnienia danych osobowych, a dane osobowe znajdują się cały czas w infrastrukturze informatycznej Administratora. Tym samym w przedmiotowej sytuacji nie mamy do czynienia z wyciekiem danych, a wyłącznie z nieuprawionym dostępem.

Uniwersytet, jak widzicie, nie zgadza się z tym, aby incydent który miał miejsce w systemie Wirtualna Uczelnia nazwać “wyciekiem” i uważa to za nadużycie. My mamy inną opinię w tej sprawie. Incydent jest wyciekiem, ponieważ dane, które powinny być chronione przekroczyły tzw. Trust Boundary (wyciekły poza obszar, w którym powinny się znajdować) i doszło do tzw. poziomej “eskalacji” uprawnień. Jeden użytkownik widział dane innej osoby. Rozumiemy, że UMED to uczelnia medyczna, a nie techniczna, więc problem tego wycieku i różne niuanse ze świata bezpieczeństwa mogą nie być dla medyków tak istotne jak dla nas. I to jest OK. Dlatego spróbujemy opisać ten incydent w sposób bardziej obrazowy:

Mocz (reprezentujący dane studentów) z nerki (reprezentujacej serwer), w drodze do pęcherza (reprezentującego przeglądarkę), wyciekł z moczowodu. To prawda, że nie ma go poza ciałem człowieka, ale jak najbardziej uprawnione jest mówienie o wycieku w tej sytuacji. Co więcej, aby hiperbola była bardziej adekwatna do sytuacji, należałoby wspomnieć, że jelito (nieuprawniony użytkownik), które było w kontakcie z moczem może szybko mocz skopiować i wysłać poza ciało pacjenta (publiczny internet). I tu postawmy może kropkę.

UMED chyba czuje, że pierwsze oświadczenie nie było zbyt dobre, bo dziś wysłał do studentów dodatkowe informacje w sprawie incydentu. Niestety dalej ciężko jest określić ile osób posiadało nieuprawniony dostęp. Raz jest to sformułowanie: “pojedyncze przypadki”, potem że maksymalnie jedna osoba. Oświadczenie zamieszczamy w całości poniżej. Polecamy zwłaszcza fragment o …braku zwrotu kosztów:

To co cieszy, to fakt, że uczelnia, wraz z dostawcą systemu, firmą PCG Akademia, co widać po treści drugiego zawiadomienia, sprawę wyjaśnia i ma już konkretne informacje na temat tego wycie… “nieuprawnionego dostępu” ;) Szkoda, że wysłanie pierwszego zawiadomienia — przez jego niezbyt precyzyjną treść — niepotrzebnie wzbudziło przerażenie wśród studentów, których ten incydent nie dotyczy. Z drugiej strony, może czasem lepiej poinformować nadmiarowo niż wcale?

Nasze rekomendacje

Ponieważ, jak wiemy po niedawnym wycieku z SGH, uczelnie zbierają masę danych (brakuje tylko numeru buta), zagrożenie faktycznie jest z tych wyższych niż niższych. To nie leak loginów i haseł z jakiegoś forum. Uczelnie mają dane z dowodu, panieńskie matki i wiele innych danych. Polecamy więc jak zwykle założyć najgorsze i dmuchać na zimne (Aktualizacja: tu wg UMED-u dostępu do numeru dokumentu tożsamości nie było).

Przez lata opisywaliśmy różne scenariusze ataków na ofiary wycieków i różne możliwości ochrony przed nimi. W Polsce wciąż nie istnieje jedno miejsce, gdzie można “zastrzec/zablokować” swoje “wycieknięte” dane i w ten sposób zabezpieczyć się przed kradzieżą tożsamości i wyłudzeniami. Trzeba wykonać ok. 17 czynności w różnych instytucjach. Co gorsza, niektóre z nich namawiają na wykupienie “płatnych” usług, które nie zawsze mają sens.

Jak się w tym wszystkim odnaleźć? Jakiś czas temu przygotowaliśmy godzinne szkolenie online poświęcony tej tematyce. Pokazuje krok po kroku co zrobić po wycieku danych, z jakich usług warto skorzystać (i kiedy) a z jakich nie warto (i dlaczego). Ze względu na wyciek z UMED, do końca dnia obniżamy cenę za dostęp do nagrania tego szkolenia o 70%. Wystarczy wpisać kod UMED2022 w formularzu na tej stronie. Kod jest ważny do północy, ale dostęp jest na 30 dni, więc spokojnie zdążysz zapoznać się z nagraniem.

Ten materiał przyda się też osobom, których dane jeszcze nie wyciekły. Bo pokazuje jak sprawdzić, co na nasz temat już krąży po internecie i podpowiada jak na wyciek się przygotować, minimalizując zawczasu jego negatywne skutki.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. Szambo wybiło na szersze wody, aż do nie bezpiecznika :D

    • Ależ panie ministrze…

  2. Moim zdaniem, zbyt dokładnie informowanie o szczegółach wycieku, może być wskazówką dla przestępców, czy warto się tymi danymi zainteresować.

    • https://pl.wikipedia.org/wiki/Security_through_obscurity

    • Security through obscurity już dawno sie zdezaktualizowało. Jeśli system ma być bezpieczny to dobrze by było gdybyśmy założyli, że przestępcy swoimi kanałami i tak te dane pozyskają. Problemem jest to, że gdy tych danych jest za mało to poszkodowani mogą być zdezorientowani co się właściwie stało, a może nawet zbagatelizować poważny wyciek ich danych. Inną sprawą jest to, że publiczne oświadczenia co gdzie i jak mogą pomóc innym adminom (lub ich szefom) podjąć właściwą decyzję by samemu nie mieć takiego problemu. Pozatym, taka skrytość powoduje nieufność i niepewność. Nigdy nie wiesz o czym ów nasza teoretyczna instytucja ci nie chciała powiedzieć, a może to było coś ważnego.

  3. Zastrzeganie zastrzeganiem ale przede wszystkim jak bank pożyczy pieniądze komuś kto podał nieswoje dane to to powinien być problem banku a nie osoby której danych użyto.
    To absurd, że jak ktoś przekaże przestępcom swoje dane dostępowe do konta i zostanie przez to okradziony to bank jest winny bo nie upewnił się komu wypłaca, ale gdy przestępca użyje nie takich znowu tajnych cudzych danych do wyłudzenia kredytu to bank się nie musi upewniać, tylko nie mająca żadnego udziału w sprawie osoba musi udowadniać że to nie ona.

    • Absurd absurdem
      Ale doskonale wiesz że nie takie “absurdy” były w naszym kraju
      Zaręczam że taki bank się szybko znajdzie

  4. Pewnie znowu WP :)

  5. Nie kogo tylko czyje!

    • Właśnie! (Albo: Otóż to!)

  6. Zastanawia mnie od dłuższego czasu czy nie ma jakiejś prawnej ścieżki, żeby się domagać “czegoś” od takiej firmy/instytucji/cokolwiek za taki wyciek? I przez “czegoś” nie mam na myśli przeprosin tylko czegoś, co zaboli.

    • Np zastrzyku… Gotówki?

  7. Panie, jakie logi? Na tej uczelni serwery są postawione na ziemniakach, a jak wiadomo ziemniaki funkcji zapisu logów nie posiadają

  8. > Raz jest to sformułowanie: “pojedyncze przypadki”, potem że maksymalnie jedna osoba.

    Akurat te stwierdzenia się nie wykluczaja. Ogólnie pojedyncze osoby widziały nie swoje dokumenty, a dany konkretny dokument mogła zobaczyć max jedna osoba – tyle jest w piśmie. Przykład: Każdy dokument mogła oglądać osoba uprawniona i osoba z ID większym o 10.

  9. “Mocz (reprezentujący dane studentów) z nerki (reprezentujacej serwer), w drodze do pęcherza (reprezentującego przeglądarkę), wyciekł z moczowodu. ”
    Hahahaha, dobre !

    Swietnie ze trzymacie przyslowiowa reke na pulsie. Bo wyglada na to ze owa uczelnia trzymala ja chwile w nocniku…?

    Ikonka usmieszku.

  10. Podoba mnie się to porównanie do moczu. Zapewne po aktualizacji sprawdzili czy nie zrobili stolca z ciepłym moczem ^^

  11. Systemy informatyczne łódzkiego UMED-u to porażka.

    Moduł rekrutacyjny oraz “Wirtualna Uczelnia” to ledwo trzymające się kupy “kafelki”, niespójne dane, na siłę dodawane animacje i LiveChaty zamiast prostego i przejrzystego systemu. Działają wolno, dużo jest zaimplementowane w topornym JavaScripcie w stylu spaghetti.

    System zapisu na lektoraty czy WF to nieudolnie sklecone formularze w stylu późnych lat 90., z błędami w implementacji HTTPS.

    Krytykowany przez wielu USOS to raj w porównaniu z umedowskimi platformami.

    To bardzo przykre tym bardziej, UMED ma wysoki poziom nauczania. Władze bardzo starają się wzmacniać już dość wysoką pozycję naukową uczelni, ale rozwiązania informatyczne ma silne tylko marketingowo, bo technicznie są one bardzo, bardzo słabe. I niebezpieczne – jak widać – a to tylko początek problemów, obawiam się.

    • A ten ich system, to nie jest tylko nakładką na jakiś typowy wirtualny dziekanat (typu właśnie USOS czy też inny eHMS albo Verbis)?

  12. Widać że wielu instytucjom w Polsce trudno jest dogonić rozwój technologiczny : z pewnością takich “kwiatków”, dziur i luk jest więcej tylko jeszcze nie zostały ujawnione.

    Aha : od trzech tygodni nie ma żadnego nowego artykułu…?

    Pozdr.

Odpowiadasz na komentarz Alain

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: