Polski uniwersytet omyłkowo opublikował dane wykładowców

„Google hacking” lub „Google dorking” to technika pozyskiwania informacji dostępnych z poziomu wyszukiwarki internetowej. Google umożliwia dodanie określonych parametrów wyszukiwania (np. operatorów logicznych „AND” czy „OR”), co pozwala zawęzić wyniki do fraz spełniających dane reguły. Zagadnienie szerzej opisywaliśmy na naszych łamach.

W grudniu 2025 roku „Google hacking” umożliwił nam znalezienie 400 numerów PESEL w dwóch arkuszach Excela.

Miesiąc temu opisaliśmy widoczność danych kilkudziesięciu osób w dokumentach z BIP. Dziś pragniemy przytoczyć kolejne takie zdarzenie, aby pokazać praktyczny aspekt ochrony danych w organizacji.

Dane wykładowców w arkuszu Excela

Plik opisywany w artykule nie jest już widoczny z poziomu sieci. Z racji na to, że w przyszłości zapytanie może zwrócić pliki zawierające dane osobowe, nie podajemy go w artykule – można jednak stwierdzić, że wykorzystuje powszechnie znane „Google dorki” z nieoczywistymi dodatkami.

W ramach „Google hackingu” udało się nam znaleźć arkusz Excela w zasobach Uniwersytetu im. Adama Mickiewicza w Poznaniu, który zawierał dane 67 pracowników uczelni (w tym ponad 60 nauczycieli akademickich). W momencie pisania artykułu dokument nie jest widoczny z poziomu Internetu oraz pamięci podręcznej wyszukiwarki Google.

Wśród danych, które zostały upublicznione, znalazły się m.in.:

• imię i nazwisko;
• numer PESEL (58 przypadków);
• data zatrudnienia wraz z okresem trwania umowy;
• prywatny adres e-mail (w niektórych przypadkach);
• prywatny numer telefonu (w większości przypadków).

Skontaktowaliśmy się z UAM niezwłocznie po znalezieniu pliku. W ciągu 40 minut otrzymaliśmy zapewnienie, że sprawą zajmuje się inspektor ochrony danych osobowych (IOD).

Reakcja na zgłoszenie

Po trzech dniach od zgłoszenia widoczności arkuszu Excela z poziomu Internetu dostaliśmy szczegółowe odpowiedzi na nasze pytania. Komunikacja z Uniwersytetem im. Adama Mickiewicza w Poznaniu była szybka i przejrzysta.

Rzecznik Prasowy UAM potwierdził, że plik został opublikowany przypadkowo. „(Administrator strony – przyp. red.) nie miał świadomości, że funkcjonuje on w przestrzeni internetowej” – przekazano nam w kontekście arkusza.

Wiemy również, że stwierdzono naruszenie ochrony danych osobowych oraz zgłoszono incydent do Prezesa UODO. „Wszystkie osoby dotknięte naruszeniem zostały indywidualnie poinformowane o zdarzeniu” – stwierdził rzecznik, dlatego w artykule nie wskazujemy wydziału UAM, który zamieścił plik w sieci.

Arkusz Excela był dostępny w sieci od 19 lutego do 13 kwietnia br. Możliwość uzyskania dostępu do pliku została odcięta „natychmiast po stwierdzeniu naruszenia ochrony danych”.

Google i dane osobowe

Uniwersytet im. Adama Mickiewicza w Poznaniu zapewnił, że dane w pamięci podręcznej wyszukiwarki Google również zostały wyczyszczone. Sprawdziliśmy – faktycznie nie można już znaleźć danych z pliku. Jest to bardzo ważne, co pokazują podobne zdarzenia.

30 marca na portalu Zero ukazał się artykuł dotyczący możliwości znalezienia danych osobowych pacjentki szpitala MSWiA z poziomu zapytania w wyszukiwarce Google. W aktualizacji tekstu możemy przeczytać, że Ministerstwo Cyfryzacji wystąpiło do Google o „zaktualizowanie danych dotyczących adresu URL w bazie danych zindeksowanych zasobów internetowych”.

Jest to bardzo ważne, ponieważ w momencie publikacji artykułu na portalu Zero wciąż było możliwe znalezienie danych osobowych za pomocą odpowiedniego zapytania. Dziś faktycznie nie można ich „odkopać” w ten sposób.

Pamiętajmy, że w przypadku zaindeksowania się informacji (szczególnie danych osobowych) w wyszukiwarce Google, warto wystąpić do Google o odświeżenie nieaktualnych treści.

Liczba wyświetleń

„Na podstawie analizy logów nie jest możliwe jednoznaczne ustalenie liczby osób, które uzyskały dostęp do dokumentu” – przekazał nam UAM. Jednocześnie odnotowano dostęp z 5 zewnętrznych adresów IP, których lokalizacja wskazywała dwa europejskie miasta poza granicami Polski.

Należy przy tym dodać, że określenie realnego położenia osób w oparciu o same adresy IP jest niemożliwe, m.in. z racji na korzystanie z VPN-ów.

Co dalej?

Niezamierzona publikacja danych osobowych niestety zdarza się cyklicznie w podmiotach publicznych. Choć jak mówił Seneka Starszy: „błądzić jest rzeczą ludzką”, incydenty pokazują konieczność każdorazowej weryfikacji dokumentów przed publikacją.

Należy zwrócić szczególną uwagę na arkusze Excela (w formatach .xlsx i .xls), ponieważ często zawierają zbiory danych wielu osób. Oczywiście nie wolno przy tym zapominać o anonimizacji dokumentów w innych formatach.

W maju 2024 roku opisaliśmy przypadek upublicznienia danych 9483 funkcjonariuszy północnoirlandzkiej policji (wszystkich na tej części wyspy). Plik zawierał m.in. adresy zamieszkania, co spowodowało konieczność przeprowadzenia się części funkcjonariuszy do nowych mieszkań. Arkusz miał być dołączony do odpowiedzi na zapytanie o dostęp do informacji publicznej.

Wszystkim chętnym polecamy anonimowy kontakt z nami - należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.