"Zawiadomienie kierowane jest do członków społeczności akademickiej Uniwersytetu Warszawskiego, w tym studentów, doktorantów, kandydatów na studia, pracowników, a także osób współpracujących z Uniwersytetem, których dane osobowe mogły zostać objęte incydentem, do jakiego doszło w nocy 15/16 kwietnia 2026 r." - wskazano we wtorkowym komunikacie opublikowanym na stronie UW, powołując się na zobowiązania wynikające z RODO.
Uniwersytet Warszawski poinformował o cyberataku
Uczelnia zapewniła, że od razu podjęła działania, aby ograniczyć skutki zdarzenia i lepiej zabezpieczyć dane na przyszłość. "Na bieżąco analizujemy sytuację i robimy wszystko, co możliwe, aby podobne incydenty się nie powtórzyły. Jednocześnie Uniwersytet Warszawski dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz prowadzona jest aktywna współpraca z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości" - czytamy w komunikacie.
Jak wyjaśniono, do naruszenia ochrony danych osobowych doszło w wyniku nieuprawnionego dostępu do systemów informatycznych UW. Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte - najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika. "Dzięki użyciu poprawnych danych logowania aktywność ta przez dłuższy czas nie wzbudzała podejrzeń. Osoby odpowiedzialne za atak działały w sposób rozproszony i trudny do wykrycia, stopniowo uzyskując dostęp do kolejnych elementów systemu" - podkreślono.
W trakcie incydentu doszło do naruszenia poufności, czyli nieuprawnionego dostępu do danych osobowych, ich skopiowania, a następnie udostępnienia w internecie. "Nie można całkowicie wykluczyć potencjalnej modyfikacji danych. Nie doszło natomiast do trwałego zablokowania dostępu do danych (zaszyfrowania) lub zakłócenia działania kluczowych systemów uczelni" - zaznaczono.
Co z danymi studentów i pracowników?
Według UW incydent został wykryty 9 lutego, po czym natychmiast podjęto działania zabezpieczające. Z przeprowadzonych analiz wynika zaś, że dane mogły zostać skopiowane w okresie od stycznia do lutego 2026 r., a ich publikacja w darknecie nastąpiła w nocy 15/16 kwietnia 2026 r. "W toku analizy ustalono, że opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB)" - podano w komunikacie.
Jak poinformowano, zdecydowana większość plików z danymi osobowymi pochodzi z dwóch wydziałów UW - Neofilologii oraz Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym. "Jednocześnie część zbioru (ok. 200 GB) zawierała różnego rodzaju dane, w tym dane osobowe. Spośród nich ok. 32,8 tys. plików mogło zawierać dane osobowe" - podała uczelnia.
Jak czytamy, zdarzenie mogło dotyczyć w szczególności: pracowników UW, studentów, kandydatów na studia, doktorantów, byłych pracowników i współpracowników, innych osób związanych z działalnością uczelni. Zakres danych osobowych był zróżnicowany i w zależności od przypadku mógł obejmować m.in.: dane identyfikacyjne, w tym szczególnego rodzaju (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo, numer PESEL, numer i serię dokumentu tożsamości, nr paszportu), dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika), dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych), dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia).
Jak zwiększyć swoje bezpieczeństwo po incydencie?
"Na obecnym etapie nie możemy jednoznacznie potwierdzić, czy i których konkretnie osób dane zostały objęte incydentem. Analiza zdarzenia nadal trwa" - poinformował UW. "Nie ma pewności, czy państwa dane zostały wykorzystane, jednak zalecamy zachowanie szczególnej czujności oraz podjęcie działań, które pozwolą ograniczyć potencjalne skutki zdarzenia" - wskazała uczelnia.
Jak zaznaczono w komunikacie, z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Potencjalne konsekwencje (w zależności od zakresu danych) mogą obejmować m.in.: utratę kontroli nad danymi i prywatnością, kradzież tożsamości i wykorzystanie danych. Wśród rekomendowanych środków zaradczych UW wymienił m.in.: zabezpieczenie tożsamości i danych finansowych poprzez np. zastrzeżenie numeru PESEL, monitorowanie aktywności kredytowej poprzez założenie konta w systemach informacji kredytowej i gospodarczej oraz włączenie alertów o próbach wykorzystania danych; zabezpieczenie dostępu do kont i usług poprzez zmianę haseł do poczty elektronicznej, bankowości, systemów uczelnianych i innych serwisów - hasła powinny być unikalne dla każdego konta. Zalecana jest też ostrożność w kontaktach i komunikacji, ograniczenie dostępności danych w przestrzeni publicznej.
"Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o możliwie niezwłoczne przekazanie tej informacji oraz podjęcie odpowiednich działań, w tym kontakt z właściwymi instytucjami" - czytamy w komunikacie uczelni. UW zachęcił też do regularnego śledzenia komunikatów na swojej stronie internetowej.
Blisko 400 policjantów w akcji przeciwko przestępczości ekonomicznej w Wólce Kosowskiej - zobacz zdjęcia:
6
Podcasty
Playlisty tematyczne
