Politechnika Warszawska. Wyciekły dane ponad 5 tys. studentów

W tej chwili nie wiadomo, jak baza Politechniki wyszła na światło dzienne. Wiadomo natomiast, że stało się to 3 maja 2020 roku około godziny 17.00 (z tego okresu pochodzą najświeższe rekordy), a kandydaci na studia, studenci i niektórzy z pracowników dydaktycznych PW mają powody do zmartwień.

Jak tłumaczy źródło, sama baza to ponad 3 GB danych, które zawierają całą historię edukacji lub pracy danej osoby, w tym programy nauczania, oceny, opinie i historię płatności. Wszystko to podzielone jest na trzy zasadnicze podzbiory. Pierwszy zawiera dane około tysiąca kandydatów na studia inżynierskie z ostatnich dwóch lat, drugi – dane około 5 tys. studentów z lat 2008-2020, trzeci zaś – dane niespełna 200 pracowników naukowych.

Na nieszczęście dotkniętych wyciekiem, lista ujawnionych informacji jest bardzo szeroka i zawiera te najbardziej wrażliwe, a mianowicie:

• imię i nazwisko,
• login,
• hasz hasła,
• adres e-mail,
• nr telefonu,
• data i miejsce urodzenia,
• narodowość,
• imiona rodziców,
• nazwisko panieńskie matki,
• PESEL,
• NIP,
• rodzaj i nr dokumentu tożsamości,
• adres zamieszkania, zameldowania i korespondencyjny,
• nazwa ukończonej szkoły średniej,
• adresy IP logowań
• oraz wiele dodatkowych, mniej istotnych danych.

Przy czym hasła wyglądają na zahaszowane algorytmem MD5 i zasolone, więc ich złamanie powinno nastręczyć nieco trudności, ale raczej nie jest niemożliwe. Za to jak na dłoni widoczne są m.in. numery dowodu osobistego i PESEL, co samo w sobie czyni zbiór wrażliwym.

Zaufana Trzecia Strona zwraca ponadto uwagę na ciekawy sposób archiwizacji stosowany przez PW. Rekordy archiwalne mają dodany do adresu e-mail prefiks arch_. To uniemożliwiało właścicielowi takiego konta logowanie, ale nie usuwało jego danych z bazy. Stąd nawet osoby, które dawno zakończyły swoją aktywność na Politechnice, są niniejszym wyciekiem dotknięte.

Co teraz? – ktoś zapyta. Zgodnie z RODO, uczelnia musi w ciągu najbliższych dniach poinformować tych, których dane zostały ujawnione. Jednak sama świadomość tego faktu to jedno, drugie – konsekwencje. Będąc na liście, zdecydowanie warto unieważnić dokumenty i wyrobić nowe, aby uniknąć kradzieży tożsamości. Hasła to, jak już zostało ustalone, problem mniejszego kalibru, ale i tak warto je pozmieniać.

To już drugi przypadek w ciągu ostatnich tygodni, gdy krajowa firma bądź instytucja traci duży zbiór danych. Przypomnijmy, pod koniec kwietnia podobna historia spotkała dostawcę energii, firmę Fortum. Niemniej tam skala wycieku była jeszcze większa, bo utracono nie kilka tysięcy, lecz kilka milionów rekordów z wrażliwymi danymi Polaków.