Cyberatak na Uniwersytet Warszawski. Wyciekły dane tysięcy studentów

„Zidentyfikowano atak hakerski na część infrastruktury IT Uniwersytetu Warszawskiego. Złośliwe oprogramowanie zostało zidentyfikowane na jednej ze stacji roboczych uczelni” – stwierdził wicepremier i minister Krzysztof Gawkowski w wpisie na platformie X z 17 lutego br.

Tego samego dnia do sprawy odniosło się UW. „W wyniku przeprowadzonych analiz potwierdzono obecność złośliwego oprogramowania. Ustalono, że zdarzenie miało miejsce w styczniu 2026 roku” – czytamy w komunikacie uniwersytetu.

Nieco ponad miesiąc później analitycy ESET przekazali, że za atakiem stoi grupa „Interlock”. Co ważne, wskutek ataku miało nie dojść do zaszyfrowania danych (co zazwyczaj następuje tuż po kradzieży plików z środowiska informatycznego).

„W odpowiedzi (na przekazane informacje – przyp. red.) uczelnia podjęła niezwłocznie wszystkie niezbędne działania” – zapewnił ESET w komunikacie prasowym.

15 kwietnia grupa cyberprzestępców opublikowała dane w tzw. „darknecie”. Szerzej te sprawę opisaliśmy w artykule na naszym portalu, uwzględniając przykłady wykradzionych danych. Kilka godzin później Uniwersytet Warszawski na swojej stronie opublikował komunikat dotyczący incydentu.

Wyciek danych z UW

Z naszych informacji wynika, że przynajmniej do 19 kwietnia (niedziela) studenci UW nie otrzymali szczegółowych informacji o incydencie poza linkiem do komunikatu na stronie warszawskiego uniwersytetu.

W trakcie pisania artykułu Uniwersytet Warszawski opublikował komunikat w sprawie naruszenia ochrony danych osobowych.

„Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika” - czytamy w zawiadomieniu. Wiadomo również, że doszło do kradzieży i publikacji danych w darknecie, lecz faktycznie nie zaszyfrowano serwerów.

Określono również konkretne wydziały, których dotyczy incydent:

W toku analizy ustalono, że opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB). Zdecydowana większość plików z danymi osobowymi pochodzi z dwóch jednostek Uniwersytetu Warszawskiego – Wydział Neofilologii oraz Wydział Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym.

Około 32,8 tys. plików mogło zawierać dane osobowe. Zakres potencjalnie upublicznionych informacji może obejmować:

• dane identyfikacyjne (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo),
• dane identyfikacyjne szczególnego rodzaju (np. numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),
• dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika),
• dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych),
• dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia),
• dane dotyczące zdrowia (np. informacje zawarte w zwolnieniach lekarskich),
• dane związane z ubezpieczeniami społecznymi,
• dane zawarte w korespondencji elektronicznej,
• wizerunek.

Zdarzenie mogło dotyczyć poniższych osób:

• pracowników Uniwersytetu Warszawskiego;
• studentów;
• kandydatów na studia;
• doktorantów;
• byłych pracowników i współpracowników;
• innych osób związanych z działalnością uczelni.

W toku naszej analizy udało się nam znaleźć liczne dane z rekrutacji na kierunki w ramach obydwu wspomnianych wydziałów. Z racji na ważny interes społeczny pragniemy przybliżyć nasze odkrycia, podkreślając, że to jedynie wycinek danych z wycieku oraz działania ma charakter informacyjny.

Dane z rekrutacji

Udało się nam znaleźć 87 unikalnych plików (nie powtarzających się – przyp. red.), będącymi wykazami osób przyjętych na pierwszy rok lub listami kandydatów.

Oznacza to, że w wycieku znalazły się również dane nie tylko studentów, lecz osób, które nie zostały studentami danego kierunku (m.in. z racji na niedostarczenie wymaganych dokumentów czy nieosiągnięcie progu). Dane obejmują również osoby z list rezerwowych.

Nasza analiza wskazuje na to, że atak ransomware objął głównie stacje robocze pracowników. To właśnie w folderze „Pobrane”, koszu czy na pulpitach znajdowała się zdecydowana większość omawianych plików.

Jakie dane wyciekły?

Wspomniane kilkadziesiąt plików zawiera m.in.:

• imię;
• nazwisko;
• numer PESEL.

Skala wycieku

Analiza 87 plików pozwoliła nam ustalić, że incydent obejmuje 6352 rekordy (imię, nazwisko, PESEL). Należy tutaj podkreślić, że niektóre z nich mogą się powtarzać, tzn. jedna osoba mogła aplikować na dwa kierunki lub brać udział w rekrutacji więcej niż w jednym roku akademickim.

Wśród znalezionych danych udało się nam wyróżnić poszczególne kategorie:

• studenci/osoby zakwalifikowane na kierunek: 3904;
• osoby na listach rezerwowych: 2049;
• osoby niezakwalifikowane (głównie studia stacjonarne – przyp. red.): 399.

Mając na uwadze możliwość dublowania się wyników, skalę wycieku w ramach omawianych danych można określić jako ”kilka tysięcy”.

Uwzględniając art. 1, art. 6 ust. 1 i art. 10 ust. 1 Prawa Prasowego, działając w oparciu o art. 2 ust. 1 ustawy o ochronie danych osobowych oraz interes publiczny, pragniemy przytoczyć ogólne opisy wykazów, które zostały upublicznione, aby dotknięte osoby mogły podjąć odpowiednie środki w celu zabezpieczenia swoich danych. Należy przy tym podkreślić, że do ataku ransomware doszło trzy miesiące temu.

Zdecydowaliśmy się wskazać szczegółowo wykryte kierunki, aby nie budzić paniki wśród osób, których incydent potencjalnie nie dotyczy, a studiują w ramach danego wydziału. Jednocześnie należy jasno wskazać, że pewnej informacji dot. wycieku danych udziela wyłącznie administrator (uczelnia).

Podkreślamy, że nasze działanie ma na celu informowanie o naruszeniu w oparciu o publicznie dostępne dane w sieci, bez wskazywania konkretnych osób fizycznych, aby zabezpieczyć się przed ew. skutkami nieuprawnionego wykorzystania danych (np. poprzez zastrzeżenie numeru PESEL).

Dotknięci studenci i kandydaci

Jeden z upublicznionych katalogów przez cyberprzestępców zawiera frazy „WSNS” oraz „IPSIR”. To właśnie dane z rekrutacji na kierunki z Wydziału Stosowanych Nauk Społecznych i Resocjalizacji UW dominują w analizowanym zbiorze – to właśnie stamtąd udało się nam znaleźć 48 dokumentów (ponad połowę).

W skład WSNS wchodzą Instytut Profilaktyki Społecznej i Resocjalizacji (IPSIR) i Instytut Stosowanych Nauk Społecznych (ISNS), które obecnie realizują poniższe kierunki:

• Kryminologia;
• Praca socjalna;
• Profilaktyka społeczna i resocjalizacja;
• Resocjalizacja;
• Resocjalizacja i penitencjarystyka;
• Socjologia stosowana i antropologia społeczna;
• Social design: profilaktyka i projektowanie usług społecznych.

W danych nie znalazły się dane osób rekrutujące na „Social design” (uruchomiony w 2025 roku – przyp. red.).

Konkretne liczby

W upublicznionym zbiorze udało się nam znaleźć dane osób, które rekrutowały na poniższe kierunki w określonych latach.

Podkreślamy, że jest to wynik zewnętrznej oraz ręcznej analizy dokumentów oraz nie przesądza jednoznacznie o tym, że brak danego kierunku/poziomu studiów/tury w poniższej liście jest równoznaczny z niewystępowaniem danych w wycieku – jednocześnie ten konkretny zbiór wyglądał na zawierający pełne dane o rekrutacji.

• 2022/2023: Profilaktyka społeczna i resocjalizacja (S1 – dwie tury, S2, N1, N2), Kryminologia (S2, N2), Praca socjalna (S2 – dwie tury, N2 – dwie tury), Socjologia stosowana i antropologia społeczna (S1, S2, N1, N2) – łącznie 1645 osób (684 studentów, 774 rezerwowych, 187 nieprzyjętych;
• 2023/2024: Profilaktyka społeczna i resocjalizacja (S1, N1), Kryminologia (S2, N2), Resocjalizacja (S2, N2), Praca socjalna (S2, N2), Socjologia stosowana i antropologia społeczna (S1)  - łącznie 878 osób, 367 studentów, 399 rezerwowych, 112 nieprzyjętych;
• 2024/2025: : Profilaktyka społeczna i resocjalizacja (S1 – dwie tury, N1), Kryminologia (S2 – dwie tury, N2 – dwie tury),  Resocjalizacja (S2 – dwie tury, N2 – dwie tury), Socjologia stosowana i antropologia społeczna (S1, N1) – łącznie 1192 osób, 594 studentów, 502 rezerwowych, 96 nieprzyjętych;
• 2025/2026: (prawdopodobnie niewykradziono i upubliczniono wszystkich danych z rekrutacji – przyp. red): Kryminologia (S2, N2), Resocjalizacja (S2), Socjologia stosowana i antropologia społeczna (S2, N2) – łącznie 400 osób, 187 studentów, 211 rezerwowych, kilku nieprzyjętych.

Podkreślamy, że powyższa analiza ma charakter ręczny i może nie uwzględniać wszystkich danych. Łącznie udało się nam znaleźć dane 4583 osób (z uwzględnieniem ew. powtórzeń) rekrutujących na kierunki w ramach IPSIR i ISNS, w tym:

• 2135 studentów;
• 2049 osób na listach rezerwowych;
• 399 osób nieprzyjętych.

Nie tylko WSNSiR

Drugim wydziałem dotkniętym wyciekiem danych z rekrutacji jest Wydział Neofilologii. Udało się nam znaleźć również cztery dokumenty z Wydziału Lingwistyki Stosowanej.

W ramach Wydziału Neofilologii udało się nam znaleźć poniższe dokumenty, dotyczące wyłącznie osób przyjętych na kierunek:

• 2019/2020: Germanistyka (S1, S2, N2), Helwetologia (S2) – 250 osób;
• 2020/2021: Germanistyka (S1, S2), Helwetologia (S2), Hungarystyka (S2), Filologia iberyjska (S2), Filologia romańska (S2), Fennistyka (S2) – 277 osób;
• 2021/2022: Germanistyka (S1, S2, N1, N2), Helwetologia (S2), Hispanistyka (N1), Filologia iberyjska (S2), Studia filologiczno-kulturoznawcze (S1) – 333 osób;
• 2022/2023: Germanistyka (S1, S2, N2), Helwetologia (S2), Hispanistyka (N1) – 183 osoby;
• 2023/2024: Filologia romańska (S1) – 121 osób;
• 2025/2026: Germanistyka (S1, S2), Hungarystyka (S1, S2), Międzykulturowe studia filologiczne (S1) – 150 osób.

Łącznie udało się nam znaleźć dane 1314 osób z Wydziału Neofilologii. W tym przypadku najprawdopodobniej nie występują duplikaty lub ich liczba jest znikoma (z racji na to, że dokumenty to listy osób przyjętych).

Sprawdzenie wycieku danych

W komunikacie Uniwersytetu Warszawskiego sprzed kilku dni znalazło się poniższe stwierdzenie:

„Aby sprawdzić, czy dane nie zostały udostępnione w internecie, można wejść na stronę: https://bezpiecznedane.gov.pl”.

Portal Bezpieczne Dane agreguje dane o wyciekach danych i serdecznie go polecamy, lecz – zgodnie z historią aktualizacji – obejmuje on głównie zbiory danych jako tekst (np. bazy danych w formacie SQL).

Zdanie o możliwości sprawdzenia udostępnienia danych w Internecie na tym portalu są jak najbardziej prawdziwe, lecz nie obejmują one danych wykradzionych z Uniwersytetu Warszawskiego – można sprawdzić tam dane np. z wycieku z dwóch sklepów z kołdrami czy sklepu z armaturą łazienkową.

Jedna z osób, której dane zostały upublicznione w wycieku, przekazała nam (w niedzielę) informację o tym, że na portalu nie znalazła się jakakolwiek informacja o incydencie w UW. Wskazywałaby na to również data ostatniej aktualizacji danych na portalu (15.04).

Serdecznie zachęcamy do regularnego korzystania z portalu Bezpieczne Dane, lecz pamiętajmy, że dotychczas nie ma tam danych z wycieku z UW. Obecnie jedyną pewną informację w tym zakresie może przekazać wyłącznie IOD UW.

Co dalej?

Powyższa analiza to wyłącznie fragment plików z wycieku.

Wszystkim osobom, których dane mogły ulec naruszeniu ochrony, zalecamy:

• zastrzeżenie numeru PESEL;
• ostrożność wobec prób kontaktu od nieznajomych osób (szczególnie w przypadku nakłaniania do niezwłocznego podjęcia danej czynności lub prośby o podanie danych osobowych – zazwyczaj będą to próby oszustwa);
• kontakt z uniwersyteckim inspektorem ochrony danych osobowych;
• zgłaszanie wszelkich prób wyłudzeń danych odpowiednim organom ścigania (np. policji);
• korzystanie z dwuetapowego uwierzytelniania;
• stosowanie unikalnych haseł.

_Chcesz nam coś przekazać o cyberataku na UW? Polecamy  anonimowy kontakt z nami - należy użyć  formularza „Zgłoszenia anonimowe” u dołu strony._