Miesiąc bez artykułu “Wyciekły dane“, to miesiąc stracony na scenie informatycznej. To tak, jakby nagle wszyscy przestali używać swoich systemów. W końcu jest prosta, złota zasada — jeżeli nie chcemy, aby dane wyciekły, po prostu przestańmy je gromadzić. Są jednak instytucje, w przypadku których jest to absolutnie niemożliwe: ośrodki zdrowia, urzędy, uczelnie itp. Ciężko jest powiedzieć jakieś przychodni, aby nie trzymała danych osobowych swoich pacjentów.
Czasami zastanawiam się, czy istnieje “bezpieczne trzymanie danych użytkowników”. Mam co prawda kilka pomysłów, jak można by tego typu informacje przechowywać, ale mam wrażenie, że w każdym przypadku, znalazłby się jakiś kruczek. Mówi się o wyciekach w instytucjach zaufania publicznego, które na ogół powinny wiedzieć jak zabezpieczać takie dane. Okazuje się, że rzeczywistość jest bardziej brutalna.
Dziś rano, polski Internet obiegła informacja, o tym, że do sieci wyciekły dane studentów Politechniki Warszawskiej.
Jest to o tyle poważny proceder, iż na uczelniach, w trakcie rekrutacji studentów, zbiera się naprawdę bardzo wrażliwe dane, na które bez problemu można by było wziąć kredyt. Są imiona rodziców, numery dowodów, PESEL, a nawet nazwisko panieńskie matki itp. Wyciek ze strony uczelni jest na tyle duży, że bez problemu można się podszyć pod osoby, których dane na niej były. Co więcej, studenci to już osoby pełnoletnie — także dowolność działań może ograniczyć tylko wyobraźnia przestępców. Informacje te ogłosił na swoich Twitterze portal Zaufana Trzecia Strona, który zajmuje się bezpieczeństwem i włamaniami. Umieścili oni wpis, w którym poinformowali, iż anonimowy informator przesłał im kopie bazy danych należącą do Ośrodka Kształcenia na Odległość Politechniki Warszawskiej.
Wyciekły dane wrażliwe jak imiona rodziców, numery dowodów, PESEL a nawet nazwisko panieńskie matki, co możemy zobaczyć we wpisie blogerów.
Sytuacja jest niesamowicie poważna, ponieważ baza zawiera bowiem dane około 5 tysięcy studentów. Co najbardziej martwi, to iż dane dotyczą osób, które uczęszczały na uczelnie nawet dwanaście lat temu. Są taż dane kandydatów na studia inżynierskie i magisterskie z dwóch ostatnich lat (czyli takich osób, które na studia nawet się nie dostały). Jeżeli dane te wpadną z niepowołane ręce, będziemy mieli małą fałszerską apokalipsę w kraju. Według informacji z Zaufanej Trzeciej Strony, danych w bazie jest aż 3 GB i znajdują się w nich takie kolumny jak:
- imię i nazwisko,
- login,
- hasz hasła,
- adres e-mail,
- nr telefonu,
- data i miejsce urodzenia,
- narodowość,
- imiona rodziców,
- nazwisko panieńskie matki,
- PESEL,
- NIP,
- rodzaj i nr dokumentu tożsamości,
- adres zamieszkania, zameldowania i korespondencyjny,
- nazwa ukończonej szkoły średniej,
- adresy IP logowań
Zawiera też inne dane: całą historię edukacji kilku tysięcy osób wraz z programami nauczania, ocenami, opiniami i historią płatności. i. Jest nawet pełna treść kilkudziesięciu tysięcy e-maili wysłanych do studentów czy logowania do aplikacji. Jest też zbiór, który zawiera dane pracowników naukowych uczelni.
Są imiona rodziców, numery dowodów, PESEL a nawet nazwisko panieńskie matki. Poważny wyciek wielu danych osobowych studentów Politechniki Warszawskiej https://t.co/1VZgVCMTfN pic.twitter.com/CwwzrBoysv
— ZaufanaTrzeciaStrona (@Zaufana3Strona) May 4, 2020
Warto też przeanalizować całą bazę, skoro już wyciekły dane.
Zaufana Trzecia Strona zrobiła małą analizę tego, co otrzymali. Zwracają oni uwagę na to, jakie dane znajdują się w bazie, ale także na sposób ich przechowywania. Pierwsze, o czym czytamy, to metoda archiwizacji. Według portalu liczni użytkownicy o dawniejszych datach rejestracji w systemie mają w polu „login” oraz w polu „adres email” dodany ciąg „arch. Wygląda to lekko dziwacznie. Blog nawet żartuje, że najwyraźniej ten dopisek ma uniemożliwić logowanie w systemie po „archiwizacji” konta. Do samego włamania doszło najprawdopodobniej w niedzielę 3 maja 2020 około godziny 17. Według blogerów, z tego czasu są ostatnie wpisy w bazie. Nie wiadomo jednak, jaką intencję miał włamywacz.
To, że wyciekły dane stawia Politechnikę w nieprzyjemnej sytuacji, ale w gorszej są pokrzywdzeni.
Pomijam już wszelkiego rodzaju fałszerstwa, jakich można dokonać przy ich pomocy. Jest to niezła pożywka dla stalkerów, oszustów kredytowych… nie chce myśleć, kogo jeszcze. Podszycie po takiego studenta na tę chwilę, nie będzie żadnym problemem. Zalecane, a wręcz konieczne jest, aby BYLI I OBECNI STUDENCI (A TAKŻE OSOBY, KTÓRE SKŁADAŁY PAPIERY NA OKNO PW, WYMIENIŁY JAK NAJSZYBCIEJ DOWODY OSOBISTE!!! Oczywiście, rozumiemy, że z powodu panującej pandemii jest to utrudnione (pewnie dlatego przestępcy wykorzystali ten moment), ale sytuacja jest naprawdę poważna i niebezpieczna. Jeżeli ktoś używa gdzieś tego samego loginu i hasła, także jak najszybciej należy wymienić metody logowań. Nie jest to przyjemne i bardzo pracochłonne, ale naprawdę warte zachodu. Sama uczelnia powinna niedługo odezwać się do poszkodowanych ze stosowną informacją.