Reklama
  • WIADOMOŚCI

Uniwersytet Jagielloński wydał ostrzeżenie. Przejęto konto pracownika

Uniwersytet Jagielloński poinformował o czasowym przejęciu skrzynki mailowej pracownika
Uniwersytet Jagielloński poinformował o czasowym przejęciu skrzynki mailowej pracownika
Autor. Zygmunt Put Zetpe0202, wikimedia.org, https://creativecommons.org/licenses/by-sa/4.0/deed.en

Konto mailowe jednego z pracowników Wydziału Filozoficznego Uniwersytetu Jagiellońskiego zostało przejęte i wykorzystane do rozsyłania spamu. Najstarsza polska uczelnia wydała komunikat w tej sprawie, ostrzegając o możliwości otrzymania maili phishingowych.

„W dniu 26.06.2026 roku (…) konto jednego pracownika Wydziału zostało przejęte przez nieznanego atakującego. Atakujący uwierzytelnił się i w godzinach 13:12–16:00 wysyłał masowe wiadomości spam na Państwa adresy e-mail ze skrzynki w domenie: @iphils.uj.edu.pl” – czytamy w komunikacie UJ z 1 lipca br.

Zakres danych osobowych, których bezpieczeństwo uległo naruszeniu, obejmuje adresy e-mail oraz imiona i nazwiska (jeśli były zawarte w adresie).

UJ ostrzega przed ewentualnymi próbami wyłudzeń danych w ramach fałszywych stron banku, nieprawdziwych wezwań do zapłaty czy ostrożności wobec wiadomości wzywających do podania haseł dostępu.

O zdarzeniu poinformowano Urząd Ochrony Danych Osobowych.

Ochrona konta

Podstawową obroną przed nieuprawnionym dostępem do konta pozostaje dwuetapowe uwierzytelnianie, czyli wymagające podania dodatkowego składnika podczas logowania (innego niż hasła).

Zgodnie z Zarządzeniem nr 47 Rektora Uniwersytetu Jagiellońskiego z dnia 24 kwietnia 2024 roku, 2FA jest obowiązkowe dla pracowników UJ.

Logowanie dwuskładnikowe do kont w domenie uj.edu.pl polega na wprowadzeniu hasła (jako pierwszego składnika logowania), a następnie potwierdzeniu tego logowania (jako drugi składnik logowania) na telefonie komórkowym w przeznaczonej do tego celu aplikacji Microsoft Authenticator, SMS-em lub z wykorzystaniem tzw. tokena sprzętowego TOTP udostępnionionego przez Uczelnię.
Zarządzenie nr 47, UJ

Należy przy tym podkreślić, że obecnie najbardziej zalecaną metodą dwuskładnikowego logowania jest wykorzystanie w tym celu kluczy U2F (sprzętowych). Dodatkowo, nie zobowiązuje to pracowników do wykorzystywania prywatnych telefonów (jeśli nie posiadają służbowych, wykorzystywanych w tym celu).

Andrzej Zieliński, Naczelnik Wydziału w Departamencie Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych podkreślał na naszych łamach, że wykorzystanie jednorazowych kodów z SMS okazuje się niewystarczające wobec współczesnych, wieloetapowych technik ataku”. Należy przy tym zaznaczyć, że nie znamy metody zabezpieczenia przejętego konta pracownika UJ.

Reklama

Włamania na maila

Nieuprawniony dostęp do kont e-mailowych w administracji publicznej to duży problem. Pokazują to liczne zawiadomienia o naruszeniu ochrony danych osobowych.

Warto przy tym zaznaczyć, że wzrost liczby publicznych komunikatów może wynikać z wzrostu świadomości organizacji, a niekoniecznie być wyłącznie efektem większej liczby incydentów.

W ostatnich miesiącach byliśmy świadkami włamań na poniższe skrzynki mailowe podmiotów publicznych:

  • Gminny Ośrodek Pomocy Społecznej w Fredropolu (wrzesień 2025);
  • Starostwo Powiatowe w Świdniku (styczeń 2026);
  • Gmina Ochotnica Dolna (styczeń 2026);
  • ZSP w Ruścu i SP nr 58 w Katowicach (marzec 2026);
  • Szpital Uniwersytecki w Krakowie (marzec 2026);
  • Politechnika Białostocka (kwiecień 2026);
  • Centrum Administracyjne Placówek Opiekuńczo-Wychowawczych w Tczewie (maj 2026).

Szyfrowanie danych

Jednym z technicznych środków ochrony danych przed nieuprawnionym dostępem jest szyfrowanie, wskazane w art. 32 ust. 1 lit. a RODO.

Jest ono bardzo ważne w przypadku nieuprawnionego dostępu do skrzynki mailowej – jeśli odpowiednio złożone hasło do pliku zostało przekazane innym kanałem komunikacji (np. SMS) oraz użyto mocnego algorytmu, jego zawartość będzie niemożliwa (bądź prawie niemożliwa) do odczytania przez cyberprzestępcę podczas włamania.

Ważne, aby hasłem nie był numer PESEL – na naszych łamach udowodniliśmy, że pliki zabezpieczone PESEL-em można go bardzo szybko złamać, nawet na biurowym sprzęcie.

Reklama

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama