Wyciek danych z Politechniki Warszawskiej. Napastnik cały czas urzęduje w uczelnianych systemach

Wyciek danych z Politechniki Warszawskiej. Napastnik cały czas urzęduje w uczelnianych systemach23.05.2020 04:42
Wydział Mechatroniki PW, fot. Panek

Na początku maja mogliście czytać na dobrychprogramach o wycieku danych z Politechniki Warszawskiej, w ramach których ujawniono najbardziej wrażliwe dane kilku tysięcy osób związanych z tą uczelnią. Okazuje się, że sprawa jest dalej w toku. Włamywacz opublikował oświadczenie. Przez Gitlaba Wydziału Mechatroniki PW, z konta administratora.

Jak pamiętacie, sprawę jako pierwsza podjęła Zaufana Trzecia Strona. Redakcji udało się dotrzeć do ponad 3 GB plików SQL z trzema bazami danych systemu okno.pw.edu.pl, używanego przez Ośrodek Kształcenia na Odległość Politechniki Warszawskiej. Znalazły się tam, odpowiednio, dane 1 tys. kandydatów na studia inżynierskie z ostatnich dwóch lat, 5 tys. studentów z lat 2008-2020 oraz blisko 200 pracowników naukowych.

Sam zestaw danych był istotnie pokaźny, gdyż obejmował m.in. numery PESEL i dowodów osobistych, skojarzone z imieniem i nazwiskiem, adresem zamieszkania i danymi kontaktowymi.

Uczelnia minęła się z prawdą

Doszło wówczas do intrygującej wymiany zdań na linii rzeczniczka uczelni—media. Pojawiły się bowiem doniesienia, że wyciek danych z 3 maja, który stał się przyczyną całego zamieszania, nie jest jedynym w historii Politechniki Warszawskiej, a system Okno penetrowany był już od stycznia. Mgr Izabela Koptoń-Ryniec, kierownik sekcji ds. Komunikacji Społecznej i Mediów PW, kategorycznie temu zaprzeczyła.

Teraz napastnik próbuje udowodnić, że uczelnia minęła się z prawdą. Wygląda na to, że osoba, która włamała się na PW i wykradła ich dane, wciąż ma dostęp do niektórych uczelnianych systemów – zauważa Niebezpiecznik. Sprawca opublikował oświadczenie, wykorzystując do tego Gitlaba Wydziału Mechatroniki PW i konto administratora.

Skradzione konto pracownika

Z relacji napastnika wynika, że pierwsze ataki zostały przeprowadzone już 2 i 3 stycznia, do czego uczelnia przyznała się na spotkaniu z pokrzywdzonymi, ale nie w komunikacji z prasą. Wykorzystany został do nich sqlmap, czyli popularne narzędzie do penetracji baz danych.

Wtedy właśnie włamywacz zdobył część tabeli z rekordami użytkowników, ale jeszcze nie całość. "Gdy administratorzy odkryli, że ktoś im ściąga bazę union selectem, wtedy zareagowali" – opisuje.

Traf chciał, że wśród zdobytych rekordów znalazło się konto jednego z wykładowców, z kompletem praw administracyjnych. Korzystając z niego, cyberprzestępca zainstalował na serwerze webshella (skrypt umożliwiający kontrolę zdalną), efektywnie uzyskując pełen dostęp do całego systemu. Mimo iż pierwotną lukę, jak sam przyznaje, dość szybko usunięto.

Nietypowa forma protestu

Co ciekawe, napastnik zdaje się być osobą w jakiś sposób związaną z Politechniką Warszawską. Obecnie lub w przeszłości. Zwraca uwagę na błędy w przetwarzaniu danych przez dziekanat, takie jak zbieranie skanów dowodu osobistego, jak również źle zabezpieczoną infrastrukturę sieciową. Narzeka na procedury i lekceważący stosunek do studenta.

Jak zauważył Niebezpiecznik, rekordy różnych studentow zawierały różne zestawy poufnych danych, co pokazuje, że PW wyłudzało od nas i przechowywało bez należytej starannosci wszelkie wrażliwe dane osobowe na jakich tylko udało im się położyć rękę.Dziekanaty domagały się też kopii dowodów osobistych, których w ogóle nie wolno im legalnie żądać. Jakiekolwiek próby prostestow przeciwko naruszeniu praw studentow lub przeciwko jakimkolwiek innym nadużyciom ze strony administracji PW na jakimkolwiek szczeblu kończą sie ripostą “jesli nie pasują Panu takie warunki, to nie ma Pan obowiazku bycia studentem (...)

Możemy się dowiedzieć, że PW popełnia jeden z kardynalnych błędów bezpieczeństwa sieciowego, trzymając stronę główną Okno i bazę danych na jednym komputerze z pojedynczą instancją systemu Oracle Linux, bez żadnej próby wzajemnej izolacji tych komponentów. Albo o tym, że wybrani pracownicy mają dostęp do rzeczonego peceta przez SSH, więc mogą wedle uznania przeglądać wrażliwe dane innych osób. I jeszcze o tym, że Gitlab nie został zaktualizowany od trzech lat.

Wszystko to, zebrane razem, wygląda niczym manifest kogoś niezadowolonego ze współpracy z Politechniką Warszawską, czy to w roli studenta czy jakiejkolwiek innej.

W komentarzu przesłanym do Niebezpiecznika napastnik wypowiada się nawet o uchybieniach w zarządzaniu budżetem, co sugeruje jego rolę w strukturach administracyjnych PW. Choć oczywiście, zanim ktokolwiek zostanie złapany za rękę i wskazany z nazwiska, mowa tu wyłącznie o dowodzie poszlakowym.

Jak zauważają komentatorzy, działa tam wiele systemów opracowanych przez wykładowców i studentów. Poza tym wielu administratorów pracuje za śmieszne pieniądze. Wielu z nich to studenci/doktoranci, którzy nigdy nie pracowali poza PW. Mnóstwo rzeczy trudno im jest poprawić nawet jeśli chcą i wiedzą jak, bo brakuje budżetu. “Działa, to nie ruszaj.” Tymczasem pod koniec każdego roku trwa znane z budżetówki paniczne wydawanie pieniędzy na rzeczy niepotrzebne, “bo jak nie wydamy, to za rok dadzą mniej”. Te pieniądze dałoby się wykorzystać na poprawę wielu rzeczy, nie tylko stanu infrastruktury IT, ale to wymagałoby lepszego planowania. Większość problemów PW pochodzi ze struktur administracyjnych – bycie zasłużonym naukowcem nie kwalifikuje do zarządzania złożoną organizacją.

Co na to rzeczniczka PW, mgr Izabela Koptoń-Ryniec? Nieznacznie zmieniła narrację, a brak wcześniejszych ataków niniejszym stał się brakiem incydentów wymagających zgłoszenia do UODO. Dla ofiar to jednak niewiele zmienia. Tak czy inaczej, ich najbardziej poufne dane znajdują się w rękach osoby trzeciej, której ostateczne zamiary ciężko przewidzieć. Mało tego, istnieje ryzyko, że dane z systemu Okno wymykają się na bieżąco.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na