200 tysięcy plików, będących rezultatem ataku cybernetycznego na Uniwersytet Warszawski, ujawniono w darknecie w nocy z 15 na 16 kwietnia. Uczelnia potwierdziła we wtorek, że około 32,8 tysiąca plików potencjalnie zawierało informacje personalne, w tym dane pracowników, studentów oraz osób ubiegających się o przyjęcie na studia. Uczelnia zapewniła, że w przedmiotowej sprawie współdziała między innymi z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości.
„Powiadomienie jest adresowane do członków wspólnoty akademickiej Uniwersytetu Warszawskiego, w tym do studentów, doktorantów, osób starających się o przyjęcie na studia, pracowników, a także podmiotów współpracujących z Uniwersytetem, których dane osobowe mogły być dotknięte incydentem, który nastąpił w nocy z 15 na 16 kwietnia 2026 r.” – zaznaczono we wtorkowym oświadczeniu umieszczonym na stronie UW, odwołując się do powinności wynikających z RODO.
Zalogowali się przy użyciu poprawnego hasła i skradli tysiące plików
Uczelnia zagwarantowała, że bezzwłocznie rozpoczęła działania mające na celu zredukowanie następstw zdarzenia oraz poprawę ochrony danych w przyszłości. „Na bieżąco analizujemy okoliczności i staramy się robić wszystko, co w naszej mocy, aby podobne przypadki nie miały miejsca. Równocześnie Uniwersytet Warszawski zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, a także prowadzi aktywną kooperację z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC)” – czytamy w komunikacie.
Wyjaśniono, że do pogwałcenia ochrony danych osobowych doszło w wyniku nielegalnego wejścia do systemów informatycznych UW. Osoba bez uprawnień zalogowała się do systemu, posługując się właściwymi danymi dostępowymi (loginem i hasłem), które zostały wcześniej uzyskane – najpewniej w efekcie działania szkodliwego oprogramowania na urządzeniu użytkownika.
Z uwagi na wykorzystanie prawidłowych danych logowania, aktywność ta przez pewien czas nie budziła podejrzeń. Osoby odpowiedzialne za atak postępowały w sposób rozproszony i trudny do identyfikacji, systematycznie zdobywając dostęp do kolejnych fragmentów systemu – podkreślono.
50 GB danych i numery dowodów w posiadaniu cyberprzestępców
W trakcie incydentu nastąpiło naruszenie tajności, a więc nieuprawniony dostęp do danych osobowych, ich skopiowanie, a następnie upublicznienie w internecie. „Nie można całkowicie wykluczyć ewentualnej zmiany danych. Nie doszło jednak do trwałego odcięcia dostępu do danych (zaszyfrowania) ani zakłócenia funkcjonowania istotnych systemów uczelni” – zasygnalizowano.
Według UW incydent został zauważony 9 lutego bieżącego roku, a po jego rozpoznaniu natychmiast podjęto kroki zabezpieczające. Z wykonanych analiz wynika, że dane mogły zostać skopiowane w przedziale czasowym od stycznia do lutego 2026 r., zaś ich upublicznienie w darknecie miało miejsce w nocy z 15 na 16 kwietnia 2026 r.
„Podczas analizy ustalono, że udostępniony w darknecie zbiór danych obejmował ogromną liczbę plików (ok. 200 tys., pojemność: 850 GB)” – przekazano w komunikacie.
Zgodnie z komunikatem, znaczna większość plików zawierających dane osobowe pochodzi z dwóch wydziałów UW – Neofilologii oraz Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze otwartym.
„Równocześnie fragment zbioru (ok. 200 GB) zawierał różnego typu dane, w tym dane osobowe. Wśród nich około 32,8 tys. plików mogło zawierać dane osobowe” – podała uczelnia.
Jak czytamy, zdarzenie mogło dotyczyć w szczególności: pracowników UW, studentów, kandydatów na studia, doktorantów, byłych pracowników i współpracowników, a także innych osób związanych z aktywnością uczelni.
Numery PESEL oraz numery kont mogły przedostać się do sieci
Zakres danych osobowych był zróżnicowany i, zależnie od przypadku, mógł obejmować między innymi: dane identyfikacyjne, w tym specjalnego rodzaju (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo, numer PESEL, numer i seria dokumentu tożsamości, nr paszportu), dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika), informacje finansowe i podatkowe (np. numer konta bankowego, dane z dokumentów podatkowych), informacje związane z zatrudnieniem (np. umowy, przebieg kariery zawodowej).
„Na obecnym etapie nie jesteśmy w stanie jednoznacznie potwierdzić, czy i czyje konkretnie dane zostały objęte incydentem. Badanie zdarzenia wciąż trwa” – oświadczył UW. „Nie ma pewności, czy Państwa dane zostały wykorzystane, niemniej jednak zalecamy zachowanie wzmożonej ostrożności oraz podjęcie kroków, które pozwolą zmniejszyć ewentualne skutki zdarzenia” – wskazała uczelnia.
Jak zaakcentowano w komunikacie, ze względu na charakter incydentu oraz zakres danych, które mogły zostać nim dotknięte, istnieje duże niebezpieczeństwo pogwałcenia praw i swobód osób, których dane dotyczą. Potencjalne konsekwencje (w zależności od zakresu danych) mogą zawierać między innymi: utratę kontroli nad danymi i prywatnością, kradzież tożsamości i wykorzystanie danych.
Co zrobić, jeśli widniejesz na liście poszkodowanych?
Wśród polecanych środków zapobiegawczych UW wymieniła między innymi:
- ochronę tożsamości i zasobów finansowych poprzez na przykład zastrzeżenie numeru PESEL,
- obserwowanie aktywności kredytowej przez założenie konta w systemach informacji kredytowej i gospodarczej (na przykład BIK, BIG, KRD, ERIF) oraz uruchomienie alertów o próbach wykorzystania danych;
- zabezpieczenie dostępu do kont i usług poprzez zmianę haseł do poczty elektronicznej, bankowości, systemów uczelnianych i innych serwisów — hasła powinny być unikalne dla każdego konta.
Rekomendowana jest również rozwaga w kontaktach i komunikacji, a także ograniczenie dostępności danych w sferze publicznej.
„Jeżeli dowiedzą się Państwo o użyciu Państwa danych przez osobę nieupoważnioną lub dostrzegą jakiekolwiek niepokojące sygnały, prosimy o jak najszybsze przekazanie tej wiadomości oraz podjęcie adekwatnych działań, w tym kontakt z odpowiednimi instytucjami” – czytamy w komunikacie uczelni.
UW zachęcił również do systematycznego śledzenia doniesień na swojej stronie internetowej. (PAP)
ekr/ agt/