Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciekły dane rekrutacyjne na studia [SGGW]. Imię/nazwisko, nazwisko rodowe, PESEL, nr dowodu osobistego, telefon i inne wrażliwe dane
Informację o incydencie można przeczytać tutaj. Co się wydarzyło? Ukradziono jeden z komputerów pracownika SGGW, na którym były przechowywane dane z rekrutacji na studia za ostatnich kilka lat. Sam laptop nie miał skonfigurowanego szyfrowania dysku (co jest już kolejnym tego typu incydentem zgłoszonym w Polsce ostatnim czasie!).
Dane, które dostały się w niepowołane ręce, są dość wrażliwe (wytłuszczenia – sekurak):
Administrator Danych Osobowych nie może wykluczyć, iż w wyniku tego incydentu nieznane osoby uzyskały dostęp do Pani/Pana danych osobowych, przez co doszło do naruszenia ochrony danych osobowych. Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
–ms
Czy SGGW groza jakies kary za to?
Tak, w naszej ocenie bardzo wysokie, włączając w to odszkodowania dla studentów. Tutaj jest artykuł o odszkodowaniu za wyciek zwykłego CV, a w tym przypadku wyciekły dosłownie wszystkie możliwe informacje.
https://www.rp.pl/artykul/877665-Zadoscuczynienie-za-internetowy-wyciek-CV.html
W końcu musiało tak się stać…
W tej szkole panuje istna komuna, zarówno w sprzęcie jak i w kadrze. Na wydziale informatyki mało kto jest w stanie obsłużyć komputer w sposób więcej niż odpalenie prezentacji a co dopiero chronić dane osobowe na urządzeniach elektronicznych. Ale cóż jak do władzy dochodzą takie beztalencia jak obecny dziekan wydziału informatyki to nie ma co się dziwić. Pozostaje tylko wymienić dowód…
Dużo ci nie da, bo na nieważny dowód też kredyt wezmą
Próbowałem z ciekawości wziąć pożyczkę na nieważny dowów w kilku miejscach i nigdzie nie przechodziło to przy weryfikacji.
btw: https://sekurak.pl/falszywy-dowod-z-falszywym-pesel-em-to-nic-i-tak-musisz-placic/
Oraz rektor
Czyli dane wyciekły i trudno, a konta w 4 serwisach monitorujących rynek kredytowy załóż za własne pieniądze…
Poza BIK.pl co jeszcze masz na myśli?
Czy to przypadek? Nie sądze, pierw banki, szpitale a teraz uniwersytety… Ktoś zaplanował sobie akcje na większą skale.
Za takie akcje typu niezaszyfrowany laptop musi być sroga KARA i to wypłacana ryczałtowo (niezależnie od tego, czy ucierpią faktycznie czy tylko potencjalnie) WSZYSTKIM których dane wyciekły – np. 10.000 zł za rekord. Wtedy rynek sam wymusi stosowną dbałość.
Drugą sprawą są te „kredyty w parabankowych” – nie mam pojęcia jakim cudem sądy dopuszczają do tego, żeby ktoś tylko „podając dane” (przypominam, że adres, a także i PESEL, często są jawne!) mógł „na kogoś” brać kredyt. Wydaje się, że mamy tu ze stanowczo za małą odpowiedzialnością karną i cywilną (względem ofiar) tych instytucji bankowych i parabankowych w takich przypadkach. Jeżeli ponosiliby realne ryzyko, to lepiej weryfikowaliby klientów. I obowiązkowo – wypłata pożyczki wyłącznie na konto.
Może tak wysokich kosztów/kar to nie powinni ponościć, ale jakieś powinni dostać, a napewno powinno się nałożyć obowiązek na szkoły i instytucję, aby zaczęły dbać o bezpieczeństwo danych.
Nie pierwszy jest to przypadek, kiedy taka szkoła nie dba o takie dane. Wielkokrotnie konta nie są usuwane, a logowanie odbywa się przy użyciu haseł słabych (zła polityka haseł lub jej brak) i/lub PESELi właśnie, co stanowi potencjalnie bardzo słabe zabezpieczenie (PESEL jest jawny).
Najpierw trzeba zmienic prawo żeby używając PESEL i numeru dowodu nie można było wziąć kredytu/chwilówki.
+1
To jest polskie RODO w pigułce. Klauzule informacje nawet w kiblu, umowy powierzenia na wszystko, nawet wyników kolokwium nie wysyłali na maila bo RODO. Uodo zamiast publikować pierdoły o tym jak powinna wyglądać klauzula o monitorowaniu obiektu ( 500 klauzula nic nie wnosząca) powinno zająć się jakimś minimum w kwestii zabezpieczenia… Bo ludzie laptopów nie szyfrują nawet…
Szyfrowanie? Laptopa? O, jej! To skomplikowane! Znam mnustwo ludzi którzy nawet nie mają haseł do swoich kont w komputerach. Hasła? No po co? Toż to utrudnienie!
A teraz odzywają się już Hiobowe Dzwony żeby broń cię Panie Boże nie wymuszać okresowej zmiany haseł na użytkownikach!
Zmiana hasła co ileś tam dni? O, jej! To takie męczące!!!
Najlepiej mieć konto na e-sad.gov.pl. BIK, KRD, BIG Infomonitor itp. da się ominąć.
„Dane z rekrutacji na studia za ostatnich kilka lat”. Te ostatnie kilka lat to 3 lata, 5 lat, 10 lat?
być może SGGW samo nie jest pewne…
Według „źródeł”, nawet 7 lat wstecz. Ale to tylko gadałem ze studentami co stoją wkurzeni pod dziekanatem :v
Od kiedy PESEL to dana osobowa i podlega RODO?
Od kiedy można go jako ID powiązać bezpośrednio z tobą. W teorii PESEL jest przecież unikatowym numerem przypisywanym każdemu Polakowi zawierającym po części inne dane (choć w nowych się to trochę zmieniło).
Cytuję (źródło: https://www.pbsg.pl/pesel-vs-rodo/):
„Zgodnie z art. 15 ustawy z dnia 24 września 2010 roku o ewidencji ludności, PESEL jest to jedenastocyfrowy numer jednoznacznie identyfikujący określoną osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną.”
To samo źródło wskazuje jednak, że PESEL nie jest daną wrażliwą, co akurat jest logicznym, że należy rozróżnić.
Zobaczcie jakie pismo przygotowali studenci do prezesa UODO. Moim zdaniem bardzo merytorycznie wskazali uchybienia i uczelnia będzie musiała bardzo poważnie potraktować sprawę.
https://pokrzywdzenisggw.pl/pisma/skarga_do_prezesa_uodo_instrukcja.pdf
A dzisiaj strona nie chce się otworzyć z powodu błędu certyfikatu!
„Nazwa hosta w certyfikacie zabezpieczeń witryny internetowej jest inna niż nazwa witryny internetowej, którą próbujesz odwiedzić.
Kod błędu:
DLG_FLAGS_SEC_CERT_CN_INVALID”
Brawo, 'informatycy’ z SGGW…
Najlepsze jest to, że zniknięcia laptopa nie da się przeoczyć (i afera gotowa). A tego ile osób korzysta niepostrzeżenie z wyciekniętego hasła jakiegoś pracownika, to już nie wiadomo. Ale ważne, że właściciel wyciekniętego hasła nie zgubił laptopa.