TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Z Politechniki Warszawskiej wyciekły wrażliwe dane. Cyberprzestępca wciąż grasuje w uczelnianym systemie

O sprawie po raz pierwszy napisała Zaufana Trzecia Strona. Redakcja dotarła do ponad 3 GB plików SQL z trzema bazami danych systemu okno.pw.edu.pl, używanego przez Ośrodek Kształcenia na Odległość Politechniki Warszawskiej.

Pliki te zawierały dane 1 tys. kandydatów na studia inżynierskie z ostatnich dwóch lat, 5 tys. studentów z lat 2008-2020 oraz blisko 200 pracowników naukowych.

Uczelnia po nagłośnieniu tej sprawy próbowała zatuszować sprawę. Gdy bowiem pojawiły się doniesienia o innych podobnych zdarzeniach, Izabela Koptoń-Ryniec, kierownik sekcji ds. Komunikacji Społecznej i Mediów PW, kategorycznie temu zaprzeczyła.

Jak podaje Niebezpiecznik.pl sprawca, chcąc obnażyć stanowisko politechniki, opublikował oświadczenie, wykorzystując do tego Gitlaba Wydziału Mechatroniki PW i konto administratora. Informuje on, że już 2 i 3 stycznia dokonano ataków, do czego uczelnia przyznała się na spotkaniu z pokrzywdzonymi, ale nie w komunikacji z prasą. Wykorzystany został do nich sqlmap, czyli popularne narzędzie do penetracji baz danych.

Wtedy właśnie cyberprzestępca zdobył część tabeli z rekordami użytkowników, ale jeszcze nie całość. “Gdy administratorzy odkryli, że ktoś im ściąga bazę union selectem, wtedy zareagowali” – opisuje. Wśród tych rekordów znalazło się konto jednego z wykładowców, z kompletem praw administracyjnych. Korzystając z niego, napastnik zainstalował na serwerze webshella (skrypt umożliwiający kontrolę zdalną), efektywnie uzyskując pełen dostęp do całego systemu.

Czy cyberprzestępca jest lub był związany z Politechniką Warszawską? Zwraca on bowiem na błędy w przetwarzaniu danych przez dziekanat, źle zabezpieczoną infrastrukturę sieciową. Narzeka na procedury i lekceważący stosunek do studenta.

Zwraca uwagę na kardynalne błędy, jeśli chodzi o bezpieczeństwo sieciowe, czyli np. trzymanie bazy danych na jednym komputerze z pojedynczą instancją systemu Oracle Linux, bez żadnej próby wzajemnej izolacji tych komponentów czy nieaktualizowanie Gitlabu od trzech lat.

Czy napastnik chce coś ważnego powiedzieć? Czy to manifest osoby niezadowolonej ze współpracy z Politechniką Warszawską? Jedno jest pewne, wrażliwe dane są w posiadaniu osoby trzeciej. Istnieje też ryzyko, że dane „wymykają się” z systemu na bieżąco.

Źródło: dobreprogramy.pl / Niebezpiecznik.pl

przeczytaj najnowszy numer isporfessional

Najnowsze