Wyciek danych polskich uczniów. CKE potwierdza

6 kwietnia br. pojawił się wpis nowego użytkownika forum, który twierdził, że wykradł dane z Systemu Informatycznego Obsługującego Egzaminy Zawodowe (SIOEZ), jakim zarządza Centralna Komisja Egzaminacyjna. Jako dowód dołączono 12 rekordów, które miały pochodzić ze wspomnianego systemu. Zawierały takie dane, jak:

• login;
• imiona i nazwisko,
• PESEL;
• data urodzenia;
• płeć;
• adres zamieszkania;
• numer telefonu;
• adres e-mail.

Należy przy tym dodać, że dwie ostatnie wartości nie występowały w każdej linijce. Adresy zamieszkania wskazywały, że dane dotyczą uczniów jednej szkoły lub kilku szkół w tym samym mieście. Z racji na niezwłoczne podjęcie działań przez CKE (w tym poinformowanie uczniów i służb) w artykule nie podajemy konkretnego miasta bądź regionu, ponieważ osoby dotknięte wyciekiem zostały poinformowane o zdarzeniu.

Oprócz danych uczniów cyberprzestępca twierdzi, że uzyskał dostęp do archiwum ”ASE_wirtualny_serwer_egazaminacyjny.v.4.5.0.zip” oraz sposobu na jego odszyfrowanie. Informacje o zdarzeniu niezwłocznie przekazaliśmy Wydziałowi Egzaminów Zawodowych Centralnej Komisji Egzaminacyjnej.

CKE o incydencie

CKE przekazało nam, że nie doszło do przełamania zabezpieczeń infrastruktury systemu SIOEZ. Uzyskaliśmy potwierdzenie, że wyciek danych miał miejsce. „Dane udostępnione w darknecie są prawdziwe, czego skutkiem jest naruszenie ochrony danych osobowych” – wskazało CKE.

Wyciek danych dotyczy „mniej niż 150 rekordów”. Co ważne, incydent dotyczy tylko jednej szkoły (ośrodka egzaminacyjnego, OE). Osoby, których bezpieczeństwo danych zostało naruszone zostały poinformowane o zdarzeniu. O sprawie zawiadomiono również służby.

Loginy oraz rodzaje danych (login, pierwsze imię, drugie imię, nazwisko, PESEL, data urodzenia itd.) upublicznione przez cyberprzestępcę są identyczne do tych, które znajdują się w systemie SIOEZ.

Jak do tego doszło?

CKE odpowiedziało nam szczegółowo na pytanie dotyczące tego, jak doszło do wycieku danych uczniów.

„(…) odnotowaliśmy nieautoryzowany dostęp do danych z konta pracownika szkoły, która organizuje egzaminy zawodowe z wykorzystaniem sytemu SIOEZ. Z ustaleń CKE wynika, że nieautoryzowany dostęp był możliwy, gdyż pracownik szkoły wykorzystywał to samo hasło do prywatnych celów” – przekazała nam Centralna Komisja Egzaminacyjna.

Oznacza to, że sam system SIOEZ CKE nie padł ofiarą ataku, lecz nieuprawniony dostęp do danych miał miejsce wskutek zalogowania się do konta pracownika szkoły. Wiele wskazuje na to, że hasło do konta musiało w przeszłości wyciec do sieci lub zostać wykradzione.

Powyższy przykład to bezpośrednie złamanie dwóch pierwszych paragrafów art. 267 Kodeksu Karnego:

§  1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§  2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Zaszyfrowany plik

Zapytaliśmy również CKE o kwestię wspomnianego archiwum. „(…) plik pochodzi z systemu SIOEZ. Plik dot. maszyny wirtualnej wykorzystywanej na egzaminie zawodowym” – przekazała nam Komisja.

Warto dbać o cyberbezpieczeństwo

Powyższy przykład idealnie pokazuje, że wykorzystywanie unikalnych haseł jest konieczne. Oprócz tego warto wykorzystywać dwuetapowe uwierzytelnianie, które może ochronić nas przed nieuprawnionym dostępem do kont w przypadku wycieku hasła. Przydatne jest również zastrzeżenie numeru PESEL, nawet jeśli nasze dane nie zostały wykradzione.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].