Poważny wyciek danych z Uniwersytetu Warszawskiego

„Zidentyfikowano atak hakerski na część infrastruktury IT Uniwersytetu Warszawskiego. Złośliwe oprogramowanie zostało zidentyfikowane na jednej ze stacji roboczych uczelni” - stwierdził wicepremier i minister cyfryzacji Krzysztof Gawkowski na platformie X niecałe dwa miesiące temu.

„Dotychczasowe ustalenia nie wskazują na wystąpienie nieuprawnionego dostępu do danych osobowych” - czytamy w lutowym oświadczeniu UW.

W dokumencie stwierdzono również, że incydent wystąpił w styczniu br. Dziś wiemy, że doszło do kradzieży i publikacji danych.

24 marca analitycy ESET stwierdzili, że za atakiem stoi grupa Interlock. Według informacji przekazanych przez firmę, cyberprzestępcom nie udało się zaszyfrować danych.

Jak słusznie zaznacza CERT Orange Polska w poście na LinkedIn, obecnie nie można jednoznacznie stwierdzić, czy kradzież danych jest wynikiem ataku z początku roku, czy jest spowodowana kolejnym incydentem bezpieczeństwa informacji.

15 kwietnia grupa opublikowała dane wykradzione z UW.

Wyciek danych z Uniwersytetu Warszawskiego

Cyberprzestępcy twierdzą, że udało się im wykraść 199 934 pliki z 25 601 katalogów.

Jako dowód przedstawili m.in. wynik polecenia „tree”, czyli wylistowania nazw zasobów. Niemożliwe jest jednoznacznie stwierdzenie prawdziwości tych twierdzeń, lecz liczba opublikowanych dokumentów jest znaczna. Skalę wycieku można bezpieczenie określić jako „dziesiątki tysięcy” plików z podkreśleniem, że prawdopodobne jest upublicznienie ok. 200 tys. plików.

Wśród dowodów ataku znalazło się wiele danych osobowych - zarówno studentów oraz wykładowców. Poniżej prezentujemy ocenzurowane wycinki wybranych dokumentów upublicznionych w tzw. „darknecie”.

Duża część danych (ok. 640 z 850GB) dotyczy w znacznej mierze nagrań (m.in. promocyjnych). Niestety pozostała część zawiera m.in. dane osobowe.

Z naszej analizy wynika, że dane zostały wykradzione głównie z Instytutu Profilaktyki Społecznej i Resocjalizacji Uniwersytetu Warszawskiego. W plikach znajdują się też informacje z innych wydziałów.

Pragniemy przy tym zaznaczyć, że dokładne określenie skali i zakresu informacji wymaga wielogodzinnej pracy analityków.

Jakie dane wyciekły?

W darkencie pojawiło się wiele rodzajów dokumentów. Do podkreślenia skali incydentu można przytoczyć liczbę plików o określonym rozserzeniu na bazie twierdzeń z pliku z wylistowaniem katalogów:

• Word (.doc, .docx): 76 840;
• Excel (.xls, .xlsx): 11 510;
• PDF (.pdf): 42 164;
• XML (.xml): 14 109.

Poniżej znajdują się wybrane dokumenty, które udało się nam odnaleźć w ramach analizy plików. Publikujemy je w celach informacyjnych w ramach pokazania przykładów danych. Podkreślamy, że nie przeanalizowaliśmy wszystkich plików z racji na ich obszerność.

Załączamy również przykładowy wykaz katalogów.

AKTUALIZACJA (16.04, godz. 21:10)

16 kwietnia, około godziny 19:00, Uniwersytet Warszawski opublikował komunikat dotyczący „incydentu z zakresu cyberbezpieczeństwa”.

„W związku z informacjami dotyczącymi opublikowania danych w wyniku incydentu, który miał miejsce 9 lutego, Uniwersytet podejmuje dalsze działania we współpracy z odpowiednimi służbami” - czytamy na stronie UW. Oznacza to, że kradzież i publikacja danych jest bezpośrednio związana z atakiem ransomware z początku roku.

Cały czas prowadzona jest aktywna współpraca z Naukową i Akademicką Siecią Komputerową (NASK), w tym z CERT Polska. Celem wspólnych działań jest doprowadzenie do ustalenia sprawców naruszenia, zakresu ich ingerencji oraz ewentualnych możliwości wykorzystania danych – choćby poprzez ich publikację w sieci internetowej
Uniwesytet Warszawski

Moje dane mogły wyciec - co robić?

W ramach rekomendacji po wycieku danych zalecamy przede wszystkim:

• zastrzeżenie numeru PESEL (co warto zrobić niezależnie od tego, czy nasze dane zostały upublicznione);
• korzystanie z dwuetapowego uwierzytelniania;
• ostrożność wobec niechcianych prób kontaktu (zarówno mailowo i telefonicznie) wraz z zgłaszaniem ich do CBZC lub CERT Polska;
• zmianę haseł wszędzie tam, gdzie było identyczne jak na portalach (chociaż do takiej sytuacji nie powinno dojść - każde nasze hasło powinno być użyte maksymalnie raz);
• zachowanie wzmożonej uwagi na próby wyłudzenia danych (phishing).

Zalecamy również kontakt z inspektorem ochrony danych UW.

Co dalej?

Incydent w UW to poważny wyciek danych, który nie może być bagatelizowany. To kolejny poważny incydent, tuż po atakach na m.in. wodociągi, energetykę czy szpitale.

Artykuł może być aktualizowany.

Wszystkim chętnym polecamy anonimowy kontakt z nami - należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.