Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

Od jednego z czytelników otrzymaliśmy e-mail rozesłany przez wydział Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego:

Od: Powiadomienie UODO powiadomienie-uodo@mimuw.edu.pl
Data: 18 listopada 2020
Temat: ***Spam*** Incydent naruszenia danych osobowych w portalu MIMUW

(…)

Na początek, jak widać po tytule, trochę odbiorców maila może w ogóle nie otrzymać, bo wpadnie on do spamu… W każdym razie dalej czytamy:

(…) ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane studentów Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego, a w niektórych przypadkach studentów Wydziału Prawa i Administracji, ponadto w repozytorium znajdowały się dane pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. Chciałem podkreślić, że na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu. Repozytorium z danymi było ukryte. Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.

Zakres danych, do których „nieznany sprawca” uzyskał dostęp:

• imiona i nazwisko,
• informacja o zmianie nazwiska,
• nazwisko panieńskie,
• płeć,
• zdjęcie,
• PESEL,
• data urodzenia,
• obywatelstwo,
• nr indeksu,
• numery telefonów (prywatne/służbowe),
• adres e-mail (prywatny, służbowy, studencki),
• adresy korespondencyjne,
• stopień naukowy,
• status osoby: student/pracownik,
• dane dot. profilu w bazie USOS,
• program studiów,
• funkcje pełnione na uczelni.

Jak do tego doszło? Czytamy dalej:

Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej.

Chodzi zatem o możliwość komunikacji z API systemu USOS. Ale dostęp do API jest zabezpieczony, prawda? Prawda, ale napastnik wyciągnął z serwisu mimuw.edu.pl klucz API umożliwiający taki dostęp. Skąd klucz? Tu jest nieco bardziej tajemniczo, ale dużo wskazuje na z „ukryty” katalog związany z jednym z systemów kontroli wersji (.git?)

–ms