Wyciek danych z Politechniki Warszawskiej. Napastnik cały czas urzęduje w uczelnianych systemach
Na początku maja mogliście czytać na dobrychprogramach o wycieku danych z Politechniki Warszawskiej, w ramach których ujawniono najbardziej wrażliwe dane kilku tysięcy osób związanych z tą uczelnią. Okazuje się, że sprawa jest dalej w toku. Włamywacz opublikował oświadczenie. Przez Gitlaba Wydziału Mechatroniki PW, z konta administratora.
Jak pamiętacie, sprawę jako pierwsza podjęła Zaufana Trzecia Strona. Redakcji udało się dotrzeć do ponad 3 GB plików SQL z trzema bazami danych systemu okno.pw.edu.pl, używanego przez Ośrodek Kształcenia na Odległość Politechniki Warszawskiej. Znalazły się tam, odpowiednio, dane 1 tys. kandydatów na studia inżynierskie z ostatnich dwóch lat, 5 tys. studentów z lat 2008-2020 oraz blisko 200 pracowników naukowych.
Sam zestaw danych był istotnie pokaźny, gdyż obejmował m.in. numery PESEL i dowodów osobistych, skojarzone z imieniem i nazwiskiem, adresem zamieszkania i danymi kontaktowymi.
Uczelnia minęła się z prawdą
Doszło wówczas do intrygującej wymiany zdań na linii rzeczniczka uczelni—media. Pojawiły się bowiem doniesienia, że wyciek danych z 3 maja, który stał się przyczyną całego zamieszania, nie jest jedynym w historii Politechniki Warszawskiej, a system Okno penetrowany był już od stycznia. Mgr Izabela Koptoń-Ryniec, kierownik sekcji ds. Komunikacji Społecznej i Mediów PW, kategorycznie temu zaprzeczyła.
Teraz napastnik próbuje udowodnić, że uczelnia minęła się z prawdą. Wygląda na to, że osoba, która włamała się na PW i wykradła ich dane, wciąż ma dostęp do niektórych uczelnianych systemów – zauważa Niebezpiecznik. Sprawca opublikował oświadczenie, wykorzystując do tego Gitlaba Wydziału Mechatroniki PW i konto administratora.
Skradzione konto pracownika
Z relacji napastnika wynika, że pierwsze ataki zostały przeprowadzone już 2 i 3 stycznia, do czego uczelnia przyznała się na spotkaniu z pokrzywdzonymi, ale nie w komunikacji z prasą. Wykorzystany został do nich sqlmap, czyli popularne narzędzie do penetracji baz danych.
Wtedy właśnie włamywacz zdobył część tabeli z rekordami użytkowników, ale jeszcze nie całość. "Gdy administratorzy odkryli, że ktoś im ściąga bazę union selectem, wtedy zareagowali" – opisuje.
Traf chciał, że wśród zdobytych rekordów znalazło się konto jednego z wykładowców, z kompletem praw administracyjnych. Korzystając z niego, cyberprzestępca zainstalował na serwerze webshella (skrypt umożliwiający kontrolę zdalną), efektywnie uzyskując pełen dostęp do całego systemu. Mimo iż pierwotną lukę, jak sam przyznaje, dość szybko usunięto.
Nietypowa forma protestu
Co ciekawe, napastnik zdaje się być osobą w jakiś sposób związaną z Politechniką Warszawską. Obecnie lub w przeszłości. Zwraca uwagę na błędy w przetwarzaniu danych przez dziekanat, takie jak zbieranie skanów dowodu osobistego, jak również źle zabezpieczoną infrastrukturę sieciową. Narzeka na procedury i lekceważący stosunek do studenta.
Jak zauważył Niebezpiecznik, rekordy różnych studentow zawierały różne zestawy poufnych danych, co pokazuje, że PW wyłudzało od nas i przechowywało bez należytej starannosci wszelkie wrażliwe dane osobowe na jakich tylko udało im się położyć rękę.Dziekanaty domagały się też kopii dowodów osobistych, których w ogóle nie wolno im legalnie żądać. Jakiekolwiek próby prostestow przeciwko naruszeniu praw studentow lub przeciwko jakimkolwiek innym nadużyciom ze strony administracji PW na jakimkolwiek szczeblu kończą sie ripostą “jesli nie pasują Panu takie warunki, to nie ma Pan obowiazku bycia studentem (...)
Możemy się dowiedzieć, że PW popełnia jeden z kardynalnych błędów bezpieczeństwa sieciowego, trzymając stronę główną Okno i bazę danych na jednym komputerze z pojedynczą instancją systemu Oracle Linux, bez żadnej próby wzajemnej izolacji tych komponentów. Albo o tym, że wybrani pracownicy mają dostęp do rzeczonego peceta przez SSH, więc mogą wedle uznania przeglądać wrażliwe dane innych osób. I jeszcze o tym, że Gitlab nie został zaktualizowany od trzech lat.
Wszystko to, zebrane razem, wygląda niczym manifest kogoś niezadowolonego ze współpracy z Politechniką Warszawską, czy to w roli studenta czy jakiejkolwiek innej.
W komentarzu przesłanym do Niebezpiecznika napastnik wypowiada się nawet o uchybieniach w zarządzaniu budżetem, co sugeruje jego rolę w strukturach administracyjnych PW. Choć oczywiście, zanim ktokolwiek zostanie złapany za rękę i wskazany z nazwiska, mowa tu wyłącznie o dowodzie poszlakowym.
Jak zauważają komentatorzy, działa tam wiele systemów opracowanych przez wykładowców i studentów. Poza tym wielu administratorów pracuje za śmieszne pieniądze. Wielu z nich to studenci/doktoranci, którzy nigdy nie pracowali poza PW. Mnóstwo rzeczy trudno im jest poprawić nawet jeśli chcą i wiedzą jak, bo brakuje budżetu. “Działa, to nie ruszaj.” Tymczasem pod koniec każdego roku trwa znane z budżetówki paniczne wydawanie pieniędzy na rzeczy niepotrzebne, “bo jak nie wydamy, to za rok dadzą mniej”. Te pieniądze dałoby się wykorzystać na poprawę wielu rzeczy, nie tylko stanu infrastruktury IT, ale to wymagałoby lepszego planowania. Większość problemów PW pochodzi ze struktur administracyjnych – bycie zasłużonym naukowcem nie kwalifikuje do zarządzania złożoną organizacją.
Co na to rzeczniczka PW, mgr Izabela Koptoń-Ryniec? Nieznacznie zmieniła narrację, a brak wcześniejszych ataków niniejszym stał się brakiem incydentów wymagających zgłoszenia do UODO. Dla ofiar to jednak niewiele zmienia. Tak czy inaczej, ich najbardziej poufne dane znajdują się w rękach osoby trzeciej, której ostateczne zamiary ciężko przewidzieć. Mało tego, istnieje ryzyko, że dane z systemu Okno wymykają się na bieżąco.
