-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Wyciekły dane rekrutacyjne na studia [SGGW]. Imię/nazwisko, nazwisko rodowe, PESEL, nr dowodu osobistego, telefon i inne wrażliwe dane

15 listopada 2019, 13:54 | W biegu | komentarzy 25
Tagi: ,

Informację o incydencie można przeczytać tutaj. Co się wydarzyło? Ukradziono jeden z komputerów pracownika SGGW, na którym były przechowywane dane z rekrutacji na studia za ostatnich kilka lat. Sam laptop nie miał skonfigurowanego szyfrowania dysku (co jest już kolejnym tego typu incydentem zgłoszonym w Polsce ostatnim czasie!).

Dane, które dostały się w niepowołane ręce, są dość wrażliwe (wytłuszczenia – sekurak):

Administrator Danych Osobowych nie może wykluczyć, iż w wyniku tego incydentu nieznane osoby uzyskały dostęp do Pani/Pana danych osobowych, przez co doszło do naruszenia ochrony danych osobowych. Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ł

    Czy SGGW groza jakies kary za to?

    Odpowiedz
  2. Sasza

    W końcu musiało tak się stać…
    W tej szkole panuje istna komuna, zarówno w sprzęcie jak i w kadrze. Na wydziale informatyki mało kto jest w stanie obsłużyć komputer w sposób więcej niż odpalenie prezentacji a co dopiero chronić dane osobowe na urządzeniach elektronicznych. Ale cóż jak do władzy dochodzą takie beztalencia jak obecny dziekan wydziału informatyki to nie ma co się dziwić. Pozostaje tylko wymienić dowód…

    Odpowiedz
  3. Andrzej

    Czyli dane wyciekły i trudno, a konta w 4 serwisach monitorujących rynek kredytowy załóż za własne pieniądze…

    Odpowiedz
    • Hello

      Poza BIK.pl co jeszcze masz na myśli?

      Odpowiedz
  4. tao

    Czy to przypadek? Nie sądze, pierw banki, szpitale a teraz uniwersytety… Ktoś zaplanował sobie akcje na większą skale.

    Odpowiedz
  5. Oburzony

    Za takie akcje typu niezaszyfrowany laptop musi być sroga KARA i to wypłacana ryczałtowo (niezależnie od tego, czy ucierpią faktycznie czy tylko potencjalnie) WSZYSTKIM których dane wyciekły – np. 10.000 zł za rekord. Wtedy rynek sam wymusi stosowną dbałość.

    Drugą sprawą są te „kredyty w parabankowych” – nie mam pojęcia jakim cudem sądy dopuszczają do tego, żeby ktoś tylko „podając dane” (przypominam, że adres, a także i PESEL, często są jawne!) mógł „na kogoś” brać kredyt. Wydaje się, że mamy tu ze stanowczo za małą odpowiedzialnością karną i cywilną (względem ofiar) tych instytucji bankowych i parabankowych w takich przypadkach. Jeżeli ponosiliby realne ryzyko, to lepiej weryfikowaliby klientów. I obowiązkowo – wypłata pożyczki wyłącznie na konto.

    Odpowiedz
    • Jasiek

      Może tak wysokich kosztów/kar to nie powinni ponościć, ale jakieś powinni dostać, a napewno powinno się nałożyć obowiązek na szkoły i instytucję, aby zaczęły dbać o bezpieczeństwo danych.

      Nie pierwszy jest to przypadek, kiedy taka szkoła nie dba o takie dane. Wielkokrotnie konta nie są usuwane, a logowanie odbywa się przy użyciu haseł słabych (zła polityka haseł lub jej brak) i/lub PESELi właśnie, co stanowi potencjalnie bardzo słabe zabezpieczenie (PESEL jest jawny).

      Odpowiedz
    • luxfest

      Najpierw trzeba zmienic prawo żeby używając PESEL i numeru dowodu nie można było wziąć kredytu/chwilówki.

      Odpowiedz
  6. Łukasz

    To jest polskie RODO w pigułce. Klauzule informacje nawet w kiblu, umowy powierzenia na wszystko, nawet wyników kolokwium nie wysyłali na maila bo RODO. Uodo zamiast publikować pierdoły o tym jak powinna wyglądać klauzula o monitorowaniu obiektu ( 500 klauzula nic nie wnosząca) powinno zająć się jakimś minimum w kwestii zabezpieczenia… Bo ludzie laptopów nie szyfrują nawet…

    Odpowiedz
    • Marekj

      Szyfrowanie? Laptopa? O, jej! To skomplikowane! Znam mnustwo ludzi którzy nawet nie mają haseł do swoich kont w komputerach. Hasła? No po co? Toż to utrudnienie!

      A teraz odzywają się już Hiobowe Dzwony żeby broń cię Panie Boże nie wymuszać okresowej zmiany haseł na użytkownikach!

      Zmiana hasła co ileś tam dni? O, jej! To takie męczące!!!

      Odpowiedz
  7. Kosarz

    Najlepiej mieć konto na e-sad.gov.pl. BIK, KRD, BIG Infomonitor itp. da się ominąć.

    Odpowiedz
  8. absolwent

    „Dane z rekrutacji na studia za ostatnich kilka lat”. Te ostatnie kilka lat to 3 lata, 5 lat, 10 lat?

    Odpowiedz
    • być może SGGW samo nie jest pewne…

      Odpowiedz
    • TS

      Według „źródeł”, nawet 7 lat wstecz. Ale to tylko gadałem ze studentami co stoją wkurzeni pod dziekanatem :v

      Odpowiedz
  9. John Sharkrat

    Od kiedy PESEL to dana osobowa i podlega RODO?

    Odpowiedz
    • Jasiek

      Od kiedy można go jako ID powiązać bezpośrednio z tobą. W teorii PESEL jest przecież unikatowym numerem przypisywanym każdemu Polakowi zawierającym po części inne dane (choć w nowych się to trochę zmieniło).

      Cytuję (źródło: https://www.pbsg.pl/pesel-vs-rodo/):
      „Zgodnie z art. 15 ustawy z dnia 24 września 2010 roku o ewidencji ludności, PESEL jest to jedenastocyfrowy numer jednoznacznie identyfikujący określoną osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną.”

      To samo źródło wskazuje jednak, że PESEL nie jest daną wrażliwą, co akurat jest logicznym, że należy rozróżnić.

      Odpowiedz
  10. Odpowiedz
    • maksik

      A dzisiaj strona nie chce się otworzyć z powodu błędu certyfikatu!

      „Nazwa hosta w certyfikacie zabezpieczeń witryny internetowej jest inna niż nazwa witryny internetowej, którą próbujesz odwiedzić.

      Kod błędu:
      DLG_FLAGS_SEC_CERT_CN_INVALID”

      Brawo, 'informatycy’ z SGGW…

      Odpowiedz
  11. ADSFRT

    Najlepsze jest to, że zniknięcia laptopa nie da się przeoczyć (i afera gotowa). A tego ile osób korzysta niepostrzeżenie z wyciekniętego hasła jakiegoś pracownika, to już nie wiadomo. Ale ważne, że właściciel wyciekniętego hasła nie zgubił laptopa.

    Odpowiedz

Odpowiedz na maksik