Wyciek danych z Politechniki Warszawskiej. Napastnik cały czas urzęduje w uczelnianych systemach
Na początku maja mogliście czytać na dobrychprogramach o wycieku danych z Politechniki Warszawskiej, w ramach których ujawniono najbardziej wrażliwe dane kilku tysięcy osób związanych z tą uczelnią. Okazuje się, że sprawa jest dalej w toku. Włamywacz opublikował oświadczenie. Przez Gitlaba Wydziału Mechatroniki PW, z konta administratora.
Jak pamiętacie, sprawę jako pierwsza podjęła Zaufana Trzecia Strona. Redakcji udało się dotrzeć do ponad 3 GB plików SQL z trzema bazami danych systemu okno.pw.edu.pl, używanego przez Ośrodek Kształcenia na Odległość Politechniki Warszawskiej. Znalazły się tam, odpowiednio, dane 1 tys. kandydatów na studia inżynierskie z ostatnich dwóch lat, 5 tys. studentów z lat 2008-2020 oraz blisko 200 pracowników naukowych.
Sam zestaw danych był istotnie pokaźny, gdyż obejmował m.in. numery PESEL i dowodów osobistych, skojarzone z imieniem i nazwiskiem, adresem zamieszkania i danymi kontaktowymi.
Uczelnia minęła się z prawdą
Doszło wówczas do intrygującej wymiany zdań na linii rzeczniczka uczelni—media. Pojawiły się bowiem doniesienia, że wyciek danych z 3 maja, który stał się przyczyną całego zamieszania, nie jest jedynym w historii Politechniki Warszawskiej, a system Okno penetrowany był już od stycznia. Mgr Izabela Koptoń-Ryniec, kierownik sekcji ds. Komunikacji Społecznej i Mediów PW, kategorycznie temu zaprzeczyła.
Teraz napastnik próbuje udowodnić, że uczelnia minęła się z prawdą. Wygląda na to, że osoba, która włamała się na PW i wykradła ich dane, wciąż ma dostęp do niektórych uczelnianych systemów – zauważa Niebezpiecznik. Sprawca opublikował oświadczenie, wykorzystując do tego Gitlaba Wydziału Mechatroniki PW i konto administratora.
Skradzione konto pracownika
Z relacji napastnika wynika, że pierwsze ataki zostały przeprowadzone już 2 i 3 stycznia, do czego uczelnia przyznała się na spotkaniu z pokrzywdzonymi, ale nie w komunikacji z prasą. Wykorzystany został do nich sqlmap, czyli popularne narzędzie do penetracji baz danych.
Wtedy właśnie włamywacz zdobył część tabeli z rekordami użytkowników, ale jeszcze nie całość. "Gdy administratorzy odkryli, że ktoś im ściąga bazę union selectem, wtedy zareagowali" – opisuje.
Traf chciał, że wśród zdobytych rekordów znalazło się konto jednego z wykładowców, z kompletem praw administracyjnych. Korzystając z niego, cyberprzestępca zainstalował na serwerze webshella (skrypt umożliwiający kontrolę zdalną), efektywnie uzyskując pełen dostęp do całego systemu. Mimo iż pierwotną lukę, jak sam przyznaje, dość szybko usunięto.
Nietypowa forma protestu
Co ciekawe, napastnik zdaje się być osobą w jakiś sposób związaną z Politechniką Warszawską. Obecnie lub w przeszłości. Zwraca uwagę na błędy w przetwarzaniu danych przez dziekanat, takie jak zbieranie skanów dowodu osobistego, jak również źle zabezpieczoną infrastrukturę sieciową. Narzeka na procedury i lekceważący stosunek do studenta.
Możemy się dowiedzieć, że PW popełnia jeden z kardynalnych błędów bezpieczeństwa sieciowego, trzymając stronę główną Okno i bazę danych na jednym komputerze z pojedynczą instancją systemu Oracle Linux, bez żadnej próby wzajemnej izolacji tych komponentów. Albo o tym, że wybrani pracownicy mają dostęp do rzeczonego peceta przez SSH, więc mogą wedle uznania przeglądać wrażliwe dane innych osób. I jeszcze o tym, że Gitlab nie został zaktualizowany od trzech lat.
Wszystko to, zebrane razem, wygląda niczym manifest kogoś niezadowolonego ze współpracy z Politechniką Warszawską, czy to w roli studenta czy jakiejkolwiek innej.
W komentarzu przesłanym do Niebezpiecznika napastnik wypowiada się nawet o uchybieniach w zarządzaniu budżetem, co sugeruje jego rolę w strukturach administracyjnych PW. Choć oczywiście, zanim ktokolwiek zostanie złapany za rękę i wskazany z nazwiska, mowa tu wyłącznie o dowodzie poszlakowym.
Co na to rzeczniczka PW, mgr Izabela Koptoń-Ryniec? Nieznacznie zmieniła narrację, a brak wcześniejszych ataków niniejszym stał się brakiem incydentów wymagających zgłoszenia do UODO. Dla ofiar to jednak niewiele zmienia. Tak czy inaczej, ich najbardziej poufne dane znajdują się w rękach osoby trzeciej, której ostateczne zamiary ciężko przewidzieć. Mało tego, istnieje ryzyko, że dane z systemu Okno wymykają się na bieżąco.