» Zgubiono laptopa z danymi setek tysięcy studentów SGGW -- Niebezpiecznik.pl --
Współczujemy absolwentom, studentom i niedoszłym studentom SGGW. Wczoraj uczelnia poinformowała ich mailowo, że ich dane zostały skradzione, wraz z laptopem jednego z pracowników uczelni. I to nie byle jakie dane, bo w zasadzie kompletne. Zabrakło chyba tylko ich numeru buta…
Ilu osób dotyczy wyciek danych?
Zacznijmy od tego, że tak naprawdę to nie wiemy, ile danych było na dysku zgubionego laptopa — nawet uczelnia tego nie wie — w swoim oświadczeniu SGGW podaje jedynie mało precyzyjnie, że chodzi o
Dlatego w tytule wpisaliśmy setek tysięcy i z przyjemnością przyjmiemy od SGGW prośbę o sprostowanie (bo taka musi bazować na faktach) — może w ten sposób uda się ustalić faktyczny zakres tego wycieku, czyli coś na co liczą zdenerwowani studenci, których kilkuset (!) napisało do nas z tym pytaniem. Pytanie czy SGGW będzie w stanie to w ogóle ustalić…
Póki co należy więc przyjmować, że każdy, kto kiedyś składał papiery do SGGW jest w grupie ofiar, których dane znajdowały się na dysku skradzionego laptopa.
Jakie dane były na dysku skradzionego laptopa?
Jak czytamy w oświadczeniu, na dysku komputera znajdowały się następujące dane osobowe kandydatów:
Nieźle, nie? Tyle typów danych wymienia SGGW, ale nam wydaje się, że dodatkowo na dyskach mogły być jeszcze zdjęcia (wizerunki) studentów. I tu pytanie do kandydatów, czy na jakimkolwiek z powyższych dokumentów / wniosków do SGGW dołączaliście swoje fotografie?
SGGW poinformowało nas za późno!
To zdanie chyba najczęściej przewijało się w e-mailach do redakcji Niebezpiecznika dotyczących tego incydentu. Studenci byli oburzeni, że o sprawie z 5 listopada dowiadują się po 10 dniach dniach. Ale…
Pracownik, który stracił laptopa wcale nie musiał się zorientować, że go nie ma od razu. Nieprawdą jest też to, co wielu studentów zarzuca uczelni, że zgodnie z RODO SGGW miało 72 na poinformowanie ofiar o incydencie. 72 godziny są na poinformowanie UODO, nie ofiar. Ofiar wcale nie trzeba informować, jeśli administrator danych uzna, że incydent nie jest istotny. Tu jak widać, SGGW nie “zamiotło sprawy pod dywan”.
Czy dysk był szyfrowany?
I to jest kluczowe pytanie …na które niestety nie znajdziemy wprost odpowiedzi w oświadczeniu SGGW. Gdyby dysk był szyfrowany, to kradzież laptopa nie pozwoliłaby na dostęp do danych zapisanych na dysku twardym (o ile hasło byłoby mocniejsze niż “abc123”) i wydaje się, że każdy administrator danych w takiej sytuacji podkreśliłby to w komunikacie.
Wiele jednak wskazuje na to, że na laptopie pracownika SGGW nie skonfigurowano Full Disk Encryption. Jak możemy przeczytać w dalszej części oświadczenia:
Ba! Na podstawie powyższego można się nawet zastanawiać czy skradziony laptop w ogóle był laptopem uczelnianym?. Sytuacja na niektórych uczelniach jest na tyle patologiczna, że kadra pracuje na prywatnym sprzęcie, nad którego bezpieczeństwem — co oczywiste — uczelniani informatycy kontroli nie mają. Cieżko im więc zarzucać w takiej sytuacji brak kompetencji (uczelnia sugeruje w komunikacie powyżej, że “obowiązujące wewnętrznie procedury” wymagają zabezpieczenia danych na nośnikach. No ale to nie to samo co wymuszają.).
UPDATE!Ale mieliśmy nosa! Po publikacji naszego artykułu na stronie SGGW pojawiło się oświadczenie rzecznika prasowego, w którym informuje on, że skradziony laptop był prywatnym laptopem pracownika, który bezprawnie zgrał na niego dane z uczelnianych systemów.Musimy więc założyć najgorsze. A to oznacza, że do danych studentów nowy właściciel laptopa łatwo uzyska dostęp, jeśli:
Może nie będzie aż tak źle?
Zwracamy jednak uwagę na to, że choć dostanie się do tych danych jest w przypadku niezaszyfrowanego dysku banalnie proste, to złodziej (znalazca?) laptopa musi w ogóle chcieć się do tych danych dostać, a przede wszystkim musi je odnaleźć je w gąszczu zapewne wielu innych plików na dysku.
Znamy przypadki, że osoby, które kupowały używany sprzęt, znajdowały na dysku niewykasowane dane (a nawet pełne bazy danych Znanych Polskich Serwisów Internetowych Których Nazwy Nie Wymienimy) lub nawet celowo przeprowadzały tzw. file carving, aby odzyskać z nośnika usunięte przez poprzedniego właściciela dane. Mimo to nie sądzimy, że prawdopodobna jest hipoteza, że ktoś celowo zlecił kradzież tego laptopa, bo wiedział że są na nim dane studentów.
Na pocieszenie możemy dodać, że większość złodziejów kradnie laptopy po to aby oddać je do komisu i zarobić. Nie zadają sobie w ogóle trudu “przełamywania zabezpieczeń” i analizowania danych. Chcą mieć szybko kasiorkę na przysłowiową flaszkę. Dane ich nie interesują.
Co więc grozi studentom, absolwentom i kandydatom?
Załóżmy, że jednak ktoś zorientuje się co jest na dysku — i będzie w stanie do tego dotrzeć. Wtedy studenci mogą mieć poważne kłopoty. Jakie? Tu akurat SGGW jest bardzo precyzyjne:
W zasadzie nic dodać, nic ująć. No może poza jedną drobnostką…
Na podstawie takiego kompletu danych jaki wyciekł, ktoś mógłby chcieć też okraść rachunki bankowe ofiar. Ma sporo danych, a brakujące może sobie zdobyć phishingiem. Ale już teraz może uwierzytelnić się na infolinii jako ofiara lub wyrobić duplikat karty SIM ofiary.
Dlatego wszystkim poszkodowanym przez SGGW sugerujemy lekturę naszego artykułu pt. Co robić, aby ktoś nie okradł mi konta w banku? I co robić, jak ktoś je jednak okradnie?Składałem papiery na SGGW — co robić, jak żyć?
Zacznijmy od tego co poszkodowanym radzi sama uczelnia. A radzi ona to, aby studenci …radzili sobie sami.
Oh, jakże to inne podejście do tego stosowanego zagranicą… Zanim jednak podpowiemy Wam co teraz możecie zrobić, (a czego robić nie warto), przytoczmy rady uczelni:
Po pierwsze — rekomendowane przez uczelnie zakładanie kont w “serwisach do monitoringu kredytu”, to naszym zdaniem POMYŁKA, w dodatku mogąca spowodować jeszcze większe szkody, a na pewno odczuwalną stratę w Waszych portfelach.
Takie konta raz, że kosztują, dwa że wymagają podania dodatkowych danych osobowych (skan dokumentu tożsamości) kolejnej firmie (która znów może je stracić, por. jak można było przejąć konto w rejestrze dłużników), to przede wszystkim NICZEGO NIE GWARANTUJĄ. I dlatego nie ma za bardzo sensu w nie inwestować.
Od lat obserwujemy jak przestępcy wymuszają kredyty, pożyczki i chwilówki i gwarantujemy Wam, że w pierwszej kolejności wymuszą je u pożyczkodawców, którzy nie konsultują żadnych biur kredytowych przed wydaniem decyzji o przyznaniu pieniędzy. Zapamiętajcie:
Niestety, taką patologiczną sytuację mamy w Polsce. Istnieją firmy pożyczkowe, które pożyczają pieniądze na zasadzie autonomicznej decyzji, BEZ sprawdzenia w jakiejkolwiek rządowej bazie czy klient nie zgłosił tzw. CREDIT FREEZE, czyli blokady na usługi pożyczkowe. Nie sprawdzają, bo takiej oficjalnej bazy rządowej po prostu nie ma. Jest za to wiele spółek prywatnych, które aspirują do takiej funkcji, ale w pierwszej kolejności po to aby zarobić pieniądze, a nie chronić obywateli. Gdyby im mocno zależało na tym drugim, to wymieniałyby się danymi ze sobą — a tego nie robią.
Tak, dobrze przeczytaliście, wszystkie biura monitoringu kredytowego to prywatne firmy, z których każda chciałaby być ogólnopolskim i obowiązkowym narzędziem na rynku finansowym, ale nie jest i nie może przez to zaoferować nikomu pełnej ochrony. Nie dajcie się na to nabrać.
Co więc zrobić, aby uniemożliwić wzięcie pożyczki na nasze dane, jeśli one wyciekły?
To opisaliśmy w tym artykule, którego — ze względu na skomplikowanie tematu — nie sposób streścić. Najlepiej będzie jak przeczytajcie go w całości — wtedy zrozumiecie tę mapkę obrazującą kilkanaście kroków (!!!) jakie trzeba wykonać, aby na tyle na ile to możliwe w Polsce, zabezpieczyć się przed negatywnymi skutkami kradzieży tożsamości i wyłudzenia pożyczki na swoje dane:
Dla pełnego obrazu tego, jak wygląda życie człowieka, któremu skradziono dane i nabrano na jego konto kredytów polecamy lekturę tego artykułu.Podsumowując: jak najszybciej, wszystkim kandydatom, studentom i absolwentom SGGW sugerujemy:
To czy wszystko poszło dobrze możecie sprawdzić na obywatel.gov.pl, w specjalnym formularzu (za darmo, o ile macie PZ, a jak nie macie, to możecie sobie go założyć z poziomu banku lub standardowo, udając się do okienka ZUS/US z dowodem niezastrzeżonym lub paszportem).
Po jakimś czasie (teraz może być jeszcze za wcześnie) warto też odpytać banki o to, czy ktoś nie założy rachunku na Wasze dane. To również można zrobić za darmo pomocą tej usługi. I warto robić co jakiś czas. (Czytelnicy informują nas, że ta usługa nie jest za darmo — dajcie nam znać, ile Was za to policzyli).
Aby zminimalizować ryzyko przejęcia Waszych obecnych rachunków bankowych, rozważcie też zmianę numeru telefonu podpiętego do swoich rachunków bankowych. Utrudni to działanie tym, którzy chcieliby wyrobić duplikat Waszej karty SIM w celu przejęcia kontroli nad rachunkiem w banku lub w dowolnym serwisie, w którym macie skonfigurowane dwuetapowe uwierzytelnienie na numer telefonu (Faebook? GMail? Giełda kryptowalut?)
A jak już się zabezpieczycie, to możecie …pozwać uczelnie.
Studenci chcą pozwu zbiorowego!
Serio. Poszkodowani założyli już grupę na Facebooku domagającą się pozwu zbiorowego i jest w niej w chwili pisania tego artykułu 12 000 członków. Członków, którzy nie wiedzą, że to działanie (pozew zbiorowy) nie ma sensu w tym przypadku.
Szczerze, nie spodziewaliśmy się aż takiego poruszenia w polskim internecie w sprawie wycieku z SGGW. Może dlatego, że zdajemy sobie sprawę, że laptopy giną codziennie. Wczoraj w taksówce nasz redaktor jadąc do klienta znalazł (na tylnej kanapie) laptopa pracownika pewnej firmy. Taksówkarz jeszcze przy redaktorze skontaktował się z właścicielem i umówił na oddanie.
To poruszenie nas dziwi nas nie tylko dlatego, że kradzież i zagubień nośników danych (cyfrowych i papierowych) jest bardzo dużo. Więcej niż włamań i wycieków. Pisaliśmy o tym podsumowując pierwszy rok RODO w Polsce i prezentując statystykę naruszeń. Dziwi nas, bo nie przypominamy sobie, aby wyciek danych z innych uczelni (a te opisujemy regularnie) tak bardzo postawił studentów na nogi. Dobra zmiana!
Gniew studentów jest w naszej ocenie uzasadniony. Za brak szyfrowania dysków w 2019 roku SGGW powinno dostać srogą karę od UODO. O ile to faktycznie był uczelniany, a nie prywatny laptop (UPDATE: laptop był prywatny). Po wejściu RODO w życie, kiedy na rynku istnieje wiele darmowych rozwiązań do szyfrowania dysków wewnętrznych i zewnętrznych, nie korzystanie z nich jest poważnym błędem i przejawem nieakceptowalnej niedojrzałości pod kątem IT. Miejmy nadzieję, że uczelnie — nie tylko SGGW — wreszcie wezmą się na poważnie za bezpieczeństwo danych studentów i więcej wagi przyłożą do zabezpieczeń baz przed nieautoryzowanym kopiowaniem, zwłaszcza na prywatny sprzęt.
A wszystkich zainteresowanych ochroną swoich danych (nie tylko osobowych) i pieniędzy zapraszamy na nasz wykład, w trakcie którego przedstawiamy kilkadziesiąt praktycznych porad i darmowych narzędzi — dzięki nim będziecie w stanie zminimalizować negatywne skutki różnych incydentów, jakie mogą Was spotkać w cyfrowym świecie.
Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:
Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.
