Studenci jednej z uczelni podejrzewają, że to z jej bazy wyciekły informacje wykorzystane do próby wyłudzenia od nich pieniędzy. Szkoła jest pewna, że źródło musiało być inne. Sprawę bada UODO.
Pod koniec września Polacy masowo zaczęli dostawać e-maile, w których grożono im ujawnieniem kompromitujących filmów nagranych jakoby przez kamery ich laptopów. Osoba podająca się za hakera informowała, że zainstalowała złośliwe oprogramowanie na komputerze adresata wiadomości, dzięki czemu miała nie tylko uzyskać dostęp do wszystkich plików, ale również kamery. Za wykasowanie nagrań żądała 1000 zł w bitcoinach.
Schemat działania był podobny do wielu wcześniejszych szantaży tego typu. Różniło go to, że dla uwiarygodnienia haker, przynajmniej w niektórych e-mailach, podawał dane takie jak imię i nazwisko osoby, jej numer PESEL i miasto, w którym mieszka.
Nie wiadomo, czy ktoś uległ temu szantażowi. Na pewno część szantażowanych zgłosiła sprawę do CERT (zespół reagowania na incydenty), który opublikował ostrzeżenie na ten temat.
„Uwaga! Ostrzegamy przed nową odsłoną znanego szantażu prywatnymi nagraniami z kamery internetowej. Cyberprzestępcom udało się pozyskać rozszerzone dane o ofierze (w tym PESEL, numer telefonu, lokalizacja ofiary)” – pisał CERT na Twitterze.
Studenci myślą o pozwie
E-maile naciągacza otrzymali również studenci Wyższej Szkoły Bankowej w Warszawie. Część jest przekonana, że skoro tym, co ich łączy, jest miejsce, w którym się uczą, to prawdopodobnie z niego nastąpił wyciek danych. Przesłanek na to wskazujących ma być więcej. Są osoby, które twierdzą, że nigdzie indziej nie podawały tego konkretnego adresu e-mail. Z informacji uzyskanych przez DGP wynika, że studenci planują złożenie pozwu zbiorowego przeciwko szkole.
Niezależnie od tego o potencjalnym wycieku poinformowano również Urząd Ochrony Danych Osobowych.
– Rzeczywiście dotarły do nas takie sygnały – potwierdza Adam Sanocki, rzecznik prasowy UODO. – W związku z pozyskanymi informacjami UODO wysłał do administratora pismo z prośbą o udzielenie wyjaśnień – dodaje. Wysłanie pisma do uczelni nie oznacza jeszcze wszczęcia kontroli.
WSB w Warszawie zapewnia, że dane nie mogą pochodzić z jej bazy. Po pierwszych sygnałach od studentów szkoła przeprowadziła kontrolę bezpieczeństwa systemów informatycznych.
– Trwające kilka dni działania nie wykazały żadnych nietypowych ruchów sieciowych ani żadnych nieuprawnionych transferów danych. W tym czasie szkoła została przez nas w całości odcięta od sieci internet, aby wyeliminować ewentualne zagrożenia. Żadne osoby trzecie nie miały też dostępu do systemów WSB w Warszawie i do danych zawartych w wiadomościach, które trafiają do poszkodowanych – mówi dr Maciej Kawecki, dziekan uczelni. Zwraca uwagę, że spam wysyłany przez naciągacza trafił na skrzynki nie tylko studentów warszawskiej WSB, ale do wielu innych osób w całym kraju. Takie informacje uczelnia ma od CERT, z którym kontaktowała się w tej sprawie. Szkoła wynajęła również zewnętrzną firmę, która w najbliższym czasie przeprowadzi testy penetracyjne (pozwalają na wykrycie ewentualnych luk w systemach informatycznych).
RODO wymaga, by w przypadku naruszenia ochrony danych administrator powiadomił UODO. Uczelnia uznała jednak, że nie ma ku temu podstawy prawnej, gdyż nie doszło do naruszenia.
O całej sytuacji powiadomiła natomiast samych zainteresowanych.
– Studenci są dla nas najważniejsi, dlatego zaraz po tym, jak dostaliśmy od nich zgłoszenie, skontaktowaliśmy się z nimi, aby ich uspokoić i podpowiedzieć, co mogą zrobić w takiej sytuacji. Na stronie internetowej pojawił się komunikat informacyjny, a ponadto udostępniłem film w mediach społecznościowych, w którym instruowałem, jak powinno się postępować w takich sytuacjach. Wykorzystaliśmy także współpracę z samorządem studenckim, aby dotrzeć z naszym komunikatem najszerzej, jak to możliwe – wylicza dr Maciej Kawecki.
Źródło da się ustalić
Dziekan podkreśla, że źródeł, z których haker mógł wyciągnąć dane, może być wiele. Numery PESEL nie znajdują się tylko w rejestrach uczelni. Co więcej, według jego wiedzy zakres danych podawany w e-mailach szantażysty czy szantażystów był różny. Część adresatów otrzymywała wiadomości bez żadnych danych osobowych.
Pojawia się pytanie, czy w tej sytuacji ustalenie źródła, z którego pozyskano dane, jest w ogóle możliwe. Zdaniem Piotra Koniecznego, eksperta ds. bezpieczeństwa z Niebezpiecznik.pl, jest to wykonalne.
– Zawsze w przypadku zgłoszeń dotyczących e-maili zawierających dane osobowe warto przeanalizować, co łączy ofiary. Czy były użytkownikami tego samego serwisu? W zależności od rodzaju wykradzionych danych można rozważyć, czy robiły zakupy w tym samym sklepie, a może – jeśli dane są bogatsze niż adres, hasło, numer telefonu – wyrabiały wizę w tej samej ambasadzie? Zazwyczaj analiza kilkudziesięciu próbek e-maili z szantażem pozwala z dużym prawdopodobieństwem wskazać, skąd szantażysta ma dane. W przypadku tego typu e-maili dane najczęściej pochodzą z baz danych ze zhackowanych serwisów internetowych – mówi Piotr Konieczny.
Niewykluczone, że w tej sprawie już niebawem poznamy źródło wycieku. Nad jego zlokalizowaniem pracują eksperci Niebezpiecznik.pl. Do nich również zgłosiło się wiele osób, które otrzymały takie e-maile.