Uniwersytet Łódzki poinformował o groźnym incydencie – jak ogłosił w komunikacie na swojej witrynie internetowej – "w związku ze zdarzeniem, do jakiego doszło w dniu 16 sierpnia 2021 r."
Włamanie na skrzynkę email unikatowych studiów MBA z oferty Uniwersytetu Łódzkiego
– Zdarzenie miało charakter włamania na skrzynkę email oraz powiązane z nią usługi Office 365 (to platforma zawierająca m.in. komunikator internetowy Teams czy popularne programy np. Word i Exel – red.), wykorzystywane w uczelni poprzez nieuprawnione pozyskanie danych logowania do niej przez nieustalonego sprawcę – sprecyzował w środę (25 sierpnia) Paweł Śpiechowicz, rzecznik UŁ.
Zhakowany adres email służy Polsko-Francuskiemu Programowi Studiów w zakresie Zarządzania typu MBA. To kierunek prowadzony przez Wydział Studiów Międzynarodowych i Politologicznych UŁ – i przedstawiany przez ten wydział jako unikatowy (bo absolwenci otrzymują podwójny dyplom: uczelni z Łodzi i z Lyonu). W akademickiej terminologii to tzw. studia podyplomowe (akurat w przypadku polsko-francuskiego kierunku warunkiem dopuszczenia do naboru jest okazanie tytułu magistra, a przynajmniej licencjatu i ukończenie przynajmniej jednego roku na stopniu drugim).
„W rezultacie zaistniałej sytuacji może nastąpić nieuprawnione wykorzystanie danych osobowych osób, które kierowały swoją korespondencję na adres (...)” – ostrzega w komunikacie UŁ.
Zhakowany email służył m.in. przesyłaniu dokumentów w rekrutacji na polsko-francuski kierunek: czyli np. dyplomu ukończenia wcześniejszych studiów czy formularza zawierającego imiona rodziców i numer dowodu...
„Ujawnieniu osobom nieuprawnionym” – jak to ujął w komunikacie UŁ – „mogły ulec” także akt urodzenia, numery PESEL, NIP i rachunku bankowego.
Potencjalne konsekwencje ataku: ktoś może wziąć „lewy” kredyt
Potencjalne konsekwencje ataku hakerskiego, mogą polegać, według komunikatu UŁ, na m.in.:
- „uzyskaniu dostępu do korzystania ze świadczeń opieki zdrowotnej przez osoby trzecie;
- wyłudzeniu ubezpieczenia lub środków z ubezpieczenia;
- uzyskaniu przez osoby trzecie dostępu do środków finansowych;
- nieuprawnionym zarejestrowaniu przedpłaconej karty telefonicznej (pre-paid);
- nieuprawnionym uzyskaniu kredytów/pożyczek w instytucjach pozabankowych (...)”.
Uniwersytet poinformował w komunikacie, iż „niezwłocznie zablokował konta poczty elektronicznej, z których nastąpił wyciek danych osobowych” i zgłosił sprawę organom ścigania.
– W związku z ostatnimi wydarzeniami oraz ogólną zwiększoną aktywność w obszarze prób włamań na skrzynki pocztowe pracowników przeprowadziliśmy dodatkowe kampanie informacyjne, w szczególności antyphishingowe (phishing to metoda podszywania się pod inną osobę lub instytucję w celu nielegalnego zdobycia danych – red.), i wdrożyliśmy nowe mechanizmy podnoszące bezpieczeństwo – dodał w środę Paweł Śpiechowicz. – Podkreślamy jednocześnie, że zaistniałe zdarzenie nie miało wpływu na bezpieczeństwo danych osobowych kandydatów na studia I i II stopnia. Ich dane pozyskiwane w toku rekrutacji są bezpieczne.
Jak polskie uczelnie tracą poufne dane...
Incydent w Łodzi zbiegł się z kolejnym rozdziałem najbardziej znanej w Polsce afery związanej z utratą poufnych danych przez uczelnię. Ta historia zaczęła się w roku 2019: Szkoła Główna Gospodarstwa Wiejskiego w Warszawie (SGGW) poinformowała, iż doszło do kradzieży laptopa jednego z jej pracowników. Na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych z kilku lat obejmujące m.in.: numer dowodu, PESEL, imiona rodziców, a dodatkowo wyniki z matury. W konsekwencji wiele osób z tysięcy kandydujących na SGGW wymieniało dowody i – na wszelki wypadek – czasowo blokowało swoje bankowe konta.
Urząd Ochrony Danych Osobowych nałożył na stołeczną uczelnię karę w wysokości 50 tys. zł. SGGW nie zgodziła się z jej zasadnością – bo, jak argumentowała, nie powinna odpowiadać za lekkomyślność swojego pracownika, który skopiował uczelniane dane na prywatny komputer. Dlatego SGGW odwołała się Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten odrzucił odwołanie. Ale w sierpniu 2021 r. SGGW poinformowała, że kieruje kolejne – tym razem do Naczelnego Sądu Administracyjnego.
