Ok. 200 tys. plików uzyskanych w wyniku cybrataku na Uniwersytet Warszawski opublikowano w darknecie w nocy z 15 na 16 kwietnia. Ok. 32,8 tys. plików mogło zawierać dane osobowe m.in. pracowników, studentów i kandydatów na studia - potwierdziła we wtorek uczelnia. Zapewniła, że w tej sprawie współpracuje m.in. z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości.

"Zawiadomienie kierowane jest do członków społeczności akademickiej Uniwersytetu Warszawskiego, w tym studentów, doktorantów, kandydatów na studia, pracowników, a także osób współpracujących z Uniwersytetem, których dane osobowe mogły zostać objęte incydentem, do jakiego doszło w nocy 15/16 kwietnia 2026 r." - wskazano we wtorkowym komunikacie opublikowanym na stronie UW, powołując się na zobowiązania wynikające z RODO.

Uczelnia zapewniła, że od razu podjęła działania, aby ograniczyć skutki zdarzenia i lepiej zabezpieczyć dane na przyszłość. "Na bieżąco analizujemy sytuację i robimy wszystko, co możliwe, aby podobne incydenty się nie powtórzyły. Jednocześnie Uniwersytet Warszawski dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz prowadzona jest aktywna współpraca z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC)" - czytamy w komunikacie.

Jak doszło do ataku hakerskiego na UW?

Jak wyjaśniono, do naruszenia ochrony danych osobowych doszło w wyniku nieuprawnionego dostępu do systemów informatycznych UW. Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika.

"Dzięki użyciu poprawnych danych logowania aktywność ta przez dłuższy czas nie wzbudzała podejrzeń. Osoby odpowiedzialne za atak działały w sposób rozproszony i trudny do wykrycia, stopniowo uzyskując dostęp do kolejnych elementów systemu" - podkreślono.

W trakcie incydentu doszło do naruszenia poufności, czyli nieuprawnionego dostępu do danych osobowych, ich skopiowania, a następnie udostępnienia w internecie. "Nie można całkowicie wykluczyć potencjalnej modyfikacji danych. Nie doszło natomiast do trwałego zablokowania dostępu do danych (zaszyfrowania) lub zakłócenia działania kluczowych systemów uczelni" - zaznaczono.

Według UW incydent został wykryty 9 lutego br., a po jego wykryciu natychmiast podjęto działania zabezpieczające. Z przeprowadzonych analiz wynika zaś, że dane mogły zostać skopiowane w okresie od stycznia do lutego 2026 r., a ich publikacja w darknecie nastąpiła w nocy 15/16 kwietnia 2026 r.

"W toku analizy ustalono, że opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB)" - podano w komunikacie.

Jak poinformowano, zdecydowana większość plików z danymi osobowymi pochodzi z dwóch wydziałów UW - Neofilologii oraz Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym.

"Jednocześnie część zbioru (ok. 200 GB) zawierała różnego rodzaju dane, w tym dane osobowe. Spośród nich ok. 32,8 tys. plików mogło zawierać dane osobowe" - podała uczelnia.

Jak czytamy, zdarzenie mogło dotyczyć w szczególności: pracowników UW, studentów, kandydatów na studia, doktorantów, byłych pracowników i współpracowników, innych osób związanych z działalnością uczelni.

Jakie dane wyciekły?

Zakres danych osobowych był zróżnicowany i w zależności od przypadku mógł obejmować m.in.: dane identyfikacyjne, w tym szczególnego rodzaju (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo, numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika), dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych), dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia).

"Na obecnym etapie nie możemy jednoznacznie potwierdzić, czy i których konkretnie osób dane zostały objęte incydentem. Analiza zdarzenia nadal trwa" - poinformował UW. "Nie ma pewności czy Państwa dane zostały wykorzystane, jednak zalecamy zachowanie szczególnej czujności oraz podjęcie działań, które pozwolą ograniczyć potencjalne skutki zdarzenia" - wskazała uczelnia.

Jak zaznaczono w komunikacie, z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Potencjalne konsekwencje (w zależności od zakresu danych) mogą obejmować m.in.: utratę kontroli nad danymi i prywatnością, kradzież tożsamości i wykorzystanie danych.

Wśród rekomendowanych środków zaradczych UW wymieniła m.in.: zabezpieczenie tożsamości i danych finansowych poprzez np. zastrzeżenie numeru PESEL, monitorowanie aktywności kredytowej poprzez założenie konta w systemach informacji kredytowej i gospodarczej (np. BIK, BIG, KRD, ERIF) oraz włączenie alertów o próbach wykorzystania danych; zabezpieczenie dostępu do kont i usług poprzez zmianę haseł do poczty elektronicznej, bankowości, systemów uczelnianych i innych serwisów — hasła powinny być unikalne dla każdego konta. Zalecana jest też ostrożność w kontaktach i komunikacji, ograniczenie dostępności danych w przestrzeni publicznej.

"Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o możliwie niezwłoczne przekazanie tej informacji oraz podjęcie odpowiednich działań, w tym kontakt z właściwymi instytucjami” - czytamy w komunikacie uczelni.

UW zachęcił też do regularnego śledzenia komunikatów na swojej stronie internetowej. 

Polska nie jest bezpieczna w sieci?

Sprawę cyberbezpieczeństwa skomentował na naszej antenie Piotr Potejko – specjalista zajmujący się m.in. cyberbezpieczeństwem i dezinformacją ze Studium Obywatelskiego im. Pawła Adamowicza. 

Jak powiedział, w Polsce od jakiegoś czasu obserwujemy bardzo poważne zagrożenie dla sektora małych i średnich przedsiębiorstw, które nie do końca są przygotowane. Jego zdaniem nowa ustawa o krajowym systemie cyberbezpieczeństwa jeszcze jest zbyt świeża, żeby rozwiązać te te problemy. 

– Natomiast ustawa to nie jest wszystko. Przepisy to nie jest wszystko. To jest świadomość. To są umiejętności. To są przede wszystkim eksperci, których trzeba szkolić, w odpowiedni sposób ich zadaniować i wykorzystywać do do takiej pracy, a wiemy, jaki jest z tym problem. Wiemy jaki jest problem z fachowcami. I ja nie mówię o informatykach. Ja mówię o ekspertach od cyberbezpieczeństwa, procesowcach, ludzie mający wiedzę, potrafiących połączyć kilka kilka elementów – wskazał. 

Posłuchaj całej rozmowy | Piotr Potejko