Według informacji przekazanych przez jeden z portali, na UW doszło do wycieku danych osobistych studentów oraz pracowników uczelni. Uniwersytet miał dowiedzieć się o incydencie od zespołu CERT Polska.
Według komunikatu w ręce niepowołanych osób mógł trafić pełny zestaw danych osobowych przetwarzanych przez uczelnię, czyli:
- imiona i nazwisko,
- informacja o zmianie nazwiska
- nazwisko panieńskie
- płeć
- zdjęcie
- PESEL
- data urodzenia
- obywatelstwo
- numer indeksu
- numery telefonów (prywatne/służbowe)
- adresy e-mail (prywatny, służbowy, studencki)
- adresy korespondencyjne
- stopień naukowy
- status osoby: student/pracownik
- dane dot. profilu w bazie USOS
- program studiów
- funkcje pełnione na uczelni.
Portal zaufanatrzeciastrona.pl odniósł się do fragmentu komunikatu, który został w całości opublikowany na stronie. “Najprawdopodobniej w serwisie www.mimu.edu.pl w trakcie prac wdrożeniowych pozostawiono dostęp do folderu /.git, zawierającego pełne informacje o wszystkich plikach znajdujących się na serwerze, a w plikach tych znaleziono bazę danych oraz klucz do API umożliwiającego odpytanie USOS-a o wszystko” – napisał autor publikacji. Interpretacja dotyczyła niżej zamieszczonego fragmentu:
“[…] w serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane […] Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. […] Repozytorium z danymi było ukryte. […] Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej.”
“W dniu 5 listopada 2020 r., na podstawie powiadomienia przesłanego do Uniwersytetu Warszawskiego przez CERT Polska o krytycznych błędach w serwisie www.mimuw.edu.pl ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog […] Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.” – dodano w komunikacie. Wynika z tego, że uniwersytet dowiedział się o wycieku, ponieważ został poinformowany przez zespół CERT Polska.
W Warszawie będzie Aleja Równości zamiast Alei Jana Pawła II?
WARSZAWA, UW, WYCIEK DANYCH, UNIWERSYTET, DANE, WYCIEK, USOS
