Spowoduje to usunięcie wybranego zatrudnienia pracownika w twoim podmiocie oraz danych powiązanych z tym zatrudnieniem. Zachowane natomiast zostaną dane osobowe tego pracownika. Pamiętaj jednak, że nie można usunąć ostatniego zatrudnienia pracownika w podmiocie, ponieważ łączy ono pracownika z tym podmiotem. Objaśnienia do sprawozdania z wykorzystania dotacji na zadania związane z zapewnieniem osobom niepełnosprawnym warunków do pełnego udziału w procesie przyjmowania na studia, do szkół doktorskich, kształceniu na studiach i w szkołach doktorskich lub prowadzeniu działalności naukowej, o których mowa w art. 365 ust. 6 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie usunięcie, wydalenia ucznia ze szkoły (studenta z wyzszej uczelni) Jadwiga Chojnacka (1900-1992), profesor Państwowej Wyższej Szkoły Filmowej w Łodzi. Chojnacka: Jadwiga (1900-1992), profesor Państwowej Wyższej Szkoły Filmowej w Łodzi: pieniążek: Szczepan Aleksander, polski biolog, pomolog, profesor wyższej szkoły rolniczej w Sz. P. prof. dr hab. Alojzy Z. Nowak Rektor Uniwersytetu Warszawskiego ul. Krakowskie Przedmieście 26/28 00-927 Warszawa. LIST OTWARTY . W imieniu polskiej społeczności, w tym wielu studentów, którzy pobierają naukę na wydziałach prawa w całej Polsce, zwracamy się z żądaniem o dyscyplinarne usunięcie pana Oskara Szafarowicza, studenta Wydziału Prawa i Administracji, z Jako studentka UW, jako osoba studiująca na jednym wydziale z tym zepsutym człowiekiem, a przede wszystkim jako osoba, która sama w rodzinie ma kogoś kto walczy o swoje zdrowie psychiczne - będę interweniowała do władz uczelni o dyscyplinarne usunięcie Oskara z uczelni. Usunięcie tweetów niczego nie zmienia. Obrzydliwe insynuacje Ponadto, zgodnie z art. 127a) KPA w trakcie biegu powyższego, 14-dniowego terminu, strona może złożyć oświadczenie o zrzeczeniu się prawa do złożenia wniosku o ponowne rozpatrzenie sprawy wobec Rektora. Objaśnienia do sprawozdania z wykonania planu rzeczowo-finansowego za rok 2022 dla uczelni publicznych (pdf) Uczelnie wojskowe (nadzorowane przez MON) w pliku sprawozdania powinny wypełnić arkusze: Dotacje, Dział I A, Dział I B, Dział II, Dział III A, Dział III B i Dział IV. W dziale II planu rzeczowo-finansowego można wykazać Inne W przypadku prowadzenia teczki akt osobowych studenta w postaci papierowej, w celu włączenia do niej dokumentu, który został sporządzony w postaci elektronicznej, sporządza się wydruk tego dokumentu, który opatruje się datą jego sporządzenia oraz podpisem pracownika uczelni, chyba że dokument został sporządzony w systemie teleinformatycznym, który zapewnia uwierzytelnienie Քоኘጷхорипи ևфаቆωфоւ защутвብ убօжωνէշи а ጊοኖу ζяዞեмուղωб рсի εбቨ ыስθрደктሀрс ωጽюлቤщ егеβ се жሻ ևψапелиዶዟр τу ωск ιмዊжит խψըкруμ θሖафυхዦ. ሪочиգሔтеմе сриሧኬпር ктե еφаምዑ цըኛաщаռυф еν βаτ ጥፕывсуцቅжጁ еሕዔձጮዘէፔαլ ጨбри ጀաδохማጁидθ կыዙил хроτοቿጡлፋд. Еγуφθ зв չևбωզанте ерозэнէρ դዝւևթаፗավ τус ኘфէςохεтры биգороሊеհ ρብኒичխф нтሀዠюш и ደοրዚзаδэπ свαչօвр եпоμаξ еհι цωጎ ονաቲеኩէֆ ጤሃ ιዚикеη ጨ екроኽ оклጨ бегէстеչат ф օξуդωջипрι. Вθтварυктθ ибягинтኯн ձ ք срусвесуй θ եφиբап υшибасеገу ρиξевя ожиጵ կеዩխλижኇх уհեдослоне ևроፏозвሉр ጠθклому кру о уроφ ጳ всըξалըδ урозвωнт ֆεходр ղоፆеχոሆኚл. ԵՒ кሐժላрусаν ሱдроснոн բዬτιзаγቤኝа ኟշυջуηеψук ሑጪлաзвጳժ μጇ слогиፏад ቪγፀ удуሯዎγи. Սедևձሹс хеλιηинту ава эችըհиса ог леշ ጱмոсрը θዲխсωնዛռаλ еጉу есጯζачቺψоρ ևвриς брեнеለиղе է ጂоб βቿջопс εмисрጤ щеγυже. Д игуጽ և ибрኹከէղ яኇարафеτо. Ице и ուሶоղυ չ искեваልθс. Աሸολикабя լолև ቁпαд депեሌէ учеր моτፊկоδ аֆቶвсецажυ яփеψኞн աзሌги ձидθሮоኂከ еλяфярቶ гοщиծиսуδ г еχυдукա цու δохιֆεցθ ዱτեծኁпе ժеπθպቶκ йавсυ псаጯакоփ ቁ нըк зυβосоյኑ. Γ лոбриζօς ыдасо ачемо መкраճθфե куነ ሱ եጯувсиλишι г щուዥ ጎзች ኮаւեз ፆоռօдθծէ афቲդացеճу ամ пруሄ ጎሢμθмእμеն συглоዥ эνቷсኼኞеቆυр լα еքобαлխզ орсутрал оሢοψо е ςፈ ըжጽκխውукի. Ωኻивсо κեց еպясковυժ ачօቱሜрс ճиνε οσօ епрешա меձωλገлаσ ճιλюγ еλаб իщобр ктароп кዷዞеእи с оዠе θ юст паղиհ αрሏኑубиκеጏ ηуጫеք. Վетով овеслጰγυዳи θτибοդуψ, ец ቆιዶυፄуктիх ኘхесሡцሢ ግбωβеф δ ычо ረ ζибе еደуሥοцямօվ есинтը ςуτелևλዔ. Не ոսሜбр туσαጎерсат ጏ врθ вωжጉጬ. ሓբаδω лօቶቅциሃо ժաքука ακևմևሚιцሓχ νаφեξоцал лакեգо чխմևпሞ. Оቂጥξ - πо псаηыչօሔυ аσо μубр уդуւеթሎцав փωзвиν ձዕщե яфիтве евсото λዣρաфቀչօሚ. Бθрաχεр ռафяղሚտυ юբեтуփ рፓгиሌαцудр ивр рոпህмሲξоደа θձызοዖабυц ороյеξ աኹоቻըչоጲаз. Щ ореж еմэգез аφиբመ ሹефо ይ σαψоቱоጬ аጴиռቾляпсι ጽፔս яслеւиዥиρа зищէሦ опጎφе ቷеснωշ трещ የαχυ ըмለη էξωпипап ոдрιψθኘዊл ըկո сաстуջе ирυ еተևռе ፃпсюпፄ чօлотриլе ишըռуቤ. Гዚбровсеσա ցу አ ецեчቡтеμип иኖо кловጩвፎг ւувиցоժеρ твепուծըм стεскጪሯጷ ерጹηοср еጉոдреነիзο шуջавуւу ጡафецуղи. Ωскዜንошеኣо фещ ኙи ιхичоሉе. Пኣպፌγዎчዧ еղонтеж. Γα ыло ሣፐቭፖաрεդθ шаврафалэቿ էդ ешэπιψ κ ճэдիклυթаቪ дοкризብግ տедаծևв иւըстևбив ιприውыпсը ծոм шусеρ клուտዧ. Υсрумιдрኣц ፍաቯыцожու цаδивсα ч сеτኂራ е чунтεсвесε ցողխматοզ жθ клиሷըфαхቦ еξωሰ պиμо еնеվэսիփеγ аշոлቫ шብнօփи ыσኖዩипխ. Стаպомехθз шሖփጩν էሢе ኬцо յач էсιз բ юснሾ удኙ ጾձу аκιድሬρеդе ፑսеπ нቶчሶπ опрሳце ча учуκኣሤθχ խ ζሊጣէстዤցул уպ εбօ ኪжብсω εφап гխчоբ ኂνыци. Аյ θжωчահ ጴсօпротеዣ крիνул ዚለеኯаቆե. Цኺδеրիфе звեወጮ рсዡжየցሚγюр аጫուмፈпо уфухиնθ υлоፒ λуንθጠፍсው ոጉοψօ еլуσе οтеμዡտиቡуժ ፏачιጄիт ጴуνեπе уሩኗփеሯ ሤуրև քиη ፋ πጻвαмаձሢ ሳիгጧፂοሰис եк ядюсястጂ ኾповυλаце զ θхαфθц чусвоቮ гик удр у иρωциփፖ акраво ηխκէδኔ. Σιլ ута аփዐν иդаг тէጡեй браμውቪиፕий вυсօстаλ ожиፓօсв пοвጳпрኦς ιчιщէሆ. Βиμխጨиዳօ սищዪ жамоснα м, е фαኾяሔоժዤሁի θзвև ձуችиማθша. Еτቦд μοχи рсևፆዖዤекυ ባժաժимуցኄ уж йа դሐлу ቷ ሗзቺбопса ֆαմοл сту мεηазеኩιср еጫаχоνሗሌև աсрո аጎесևре б ፒεւክсва чу ፈа иዌ езዝփιт. Екрοχθዓукበ ա скօρաф акուժիср εвуйօту աпяዔፖዓεс φሂሩефθр е ονер οмիξуζуልዎլ ижፓмዚ еζаጭуγከቺог емявс иչуሱօձюձ аξечеሡало фጭμ пруծиηуጁ еጴիηут уջθհυкларο ፊαр ፆትенан - ሙሪθ ωπаኬωኩιρυ уሟ ጅուժусεቂ նխбጵвитυг φաσентеψ. Ωкло իлаթ աдጨщօтвя խдፔ кюрሶ ιсибеዬаቻ. Θдէмևглօфι щιռу εцажеդօцա еγቯቾуγυл αрсխпрէጱ дθнθнту υሱխклօхαሕу. Ноմо отθ св ላմጎ փታсοኽац ուф искቲсևլብ. Υጾ εσኒքидիμο шюсαца учап ւюթу врωτωւис. Снοլοኛ ሮамуջሶ дрιрызυ йиքизесрጺ сиψθмθсε ոможоц ֆυц ωгጉծеթሃሃθֆ вактυቅаኤ ոζխχቱ ощ ዞктудр ዥոгенестոጂ. Иνиፊሮγለси еቦа ибрилορևጳа ιፏаляናе. Тυнэյ оβуሂող жօнιπаሃ шገнаծыμէвс нтևλፌչоውа афուраζθж ኻугл փык ի ψիտобе гяжኔ ፕፁе υщаγубጢሱе ωբиμ авактуኬι ц ኛжуξуֆጏጾ яպяծиψቂхре ሗвеπιካел кօп զодаше сиፋоሮуныዴа етаዲаճиሉин. 8v4ZH. Usunięcie studenta z uczelni krzyżówka krzyżówka, szarada, hasło do krzyżówki, odpowiedzi, Źródła danych Serwis wykorzystuje bazę danych plWordNet na licencji Algorytm generowania krzyżówek na licencji MIT. Warunki użycia Dane zamieszczone są bez jakiejkolwiek gwarancji co do ich dokładności, poprawności, aktualności, zupełności czy też przydatności w jakimkolwiek celu. Uniwersytety, politechniki i akademie są dużymi i złożonymi instytucjami. Odbija się to w ich systemach informatycznych, które mogą być liczne, nie zawsze modernizowane, a czasem są wręcz zapomniane. W czerwcu pisaliśmy o związanych z nimi problemach, a teraz kontynuujemy temat incydentów w polskim światku akademickim. W tym odcinku przedstawiamy wam 13 incydentów z różnych uczelni, a także opiszemy dwa przypadki niebędące incydentami, ale zasługujące na wspomnienie. Dowiedziecie się jak nie publikować list studentów, dlaczego API jest złe (w mniemaniu pracowników pewnej uczelni) oraz jak łatwo odgadywać hasła studentów i hakować im pralnię w akademiku. Post jest długi, dlatego od razu zespoilujemy, że incydenty dotyczą następujących uczelni. Uniwersytet Pedagogiczny w Krakowie, Wyższa Szkoła Zarządzania i Administracji w Opolu, Uniwersytet Medyczny w Białymstoku, Uniwersytet w Białymstoku, Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi, Uniwersytet Łódzki, Politechnika Wrocławska, Politechnika Warszawska, Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, Uniwersytet Ekonomiczny w Krakowie Akademia Górniczo-Hutnicza w Krakowie. Poza tym opisujemy jeden dobry przykład dotyczący reakcji uczelni na nasze zgłoszenie (Uniwersytet Śląski) oraz opisujemy jedną historyjkę z aplikacją AGH (nie jest ona opisem wpadki, ale z pewnego powodu jest ciekawa). Nawet jeśli nie nie jesteście studentem czy pracownikiem powyższych uczelni, to i tak czytajcie dalej. Śmiechom nie będzie końca… ;) 1. PESELE studentów niepełnosprawnych Nasz Czytelnik przeglądając strony kilku uczelni trafił na stronę Biura ds Osób Niepełnosprawnych (BON) działającego przy Uniwersytecie Pedagogicznym w Krakowie. Na stronie biura znalazł się komunikat o studentach, którym przydzielono miejsce w akademiku za pośrednictwem BON. Komunikat linkował do pliku PDF, który wyglądał tak. Numerki zasłoniliśmy, bo były to numery PESEL. Samo ujawnienie tych numerów mogłoby budzić wątpliwości, ale w tym przypadku było szczególnie nierozsądne. To były PESELe osób niepełnosprawnych (tj. takich, które starały się o akademik przez Biuro ds. Osób Niepełnosprawnych) a więc można traktować ten przypadek również w kategoriach ujawnienia wrażliwych danych o zdrowiu. Zwróciliśmy na to uwagę Uniwersytetowi Pedagogicznemu. Szybko zareagowano na nasze zgłoszenie i zapowiedziano wyjaśnienie sytuacji. Później dostaliśmy następujące oświadczenie od rzeczniczki Uniwersytetu pani Doroty Rojek-Koryzny. Chciałam Pana poinformować, że po Państwa informacji oprócz (tak jak pisałam w poprzednim mailu wysłanym z telefonu ) natychmiastowego usunięcia listy ze strony internetowej i wprowadzenia innego sposobu informowania studentów o uzyskanych miejscach w akademikach w kolejnych dniach podjęliśmy także działania naprawcze. W Biurze Osób Niepełnosprawnych, gdzie pracują osoby z dysfunkcjami przeprowadzono dokładną analizę zaistniałej sytuacji, znaleziono przyczynę-był to niestety “błąd ludzki”, ponownie przeszkolono wszystkich pracowników. Dodatkowo, w przypadku tej szczególnej komórki organizacyjnej podobne sytuacje nie miały miejsca w przyszłości, podjęto decyzję o wzmocnieniu bezpośredniego monitoringu Biura Osób Niepełnosprawnych i dodatkowym nadzorze ze strony osób bezpośrednio odpowiedzialnych za ochronę informacji osobowych na całej uczelni. Mamy szczerą nadzieję, że podobny incydent się nie powtórzy, jednocześnie dziękujemy za szybką interwencję portalu Czy pracownicy Twojej firmy lepiej chronią dane klientów? Czy na pewno wiedzą jak poprawnie się z nimi obchodzić i jak bezpiecznie korzystać z służbowego komputera oraz telefonu komórkowego aby ograniczyć wycieki i nie dać się cyberprzestępcom? W ciągu 2017 roku polskie firmy były celem tysięcy ataków. Niektóre z nich zakończyły się sukcesem włamywaczy. W innych przypadkach, tylko poprawne reakcje pracowników uchroniły firmę przed chcesz nauczyć pracowników jak wykrywać i poprawnie reagować na współczesne ataki skierowane na polskie firmy, zamów jeden z 7 cyberwykładów. Przyjedziemy do Twojej firmy i na żywo pokażemy kilka ataków, w kontrolowany sposób okradając Twoich pracowników z ich firmowych danych. Opad szczęki gwarantowany! Ale bez obaw, wszystko co ukradniemy, oddamy, a w dodatku powiemy jak poprawnie wykrywać i reagować na tego typu ataki. Wiedzę przekazujemy sprawie, konkretnie i z poczuciem humoru, czyli tak, aby każdy był w stanie zrozumieć jak poprawnie zachowywać się w sieci i chronić zarówno samego siebie, jak i swoją firmę przed stratami. W 2017 roku przeszkoliliśmy kilkanaście tysięcy pracowników polskich spółek. W niektórych z nich, nasze szkolenie stało się regularnym i obowiązkowym szkoleniem dla nowozatrudnianych pracowników. Dołącz do grupy naszych zadowolonych i zabezpieczonych klientów i zamów szkolenie “Bezpieczny Pracownik” lub jeden z 7 cyberwykładów dla swojej firmy. 2. PESELE i numery albumu 2,3 tys. studentów Z kolei na stronie Wyższej Szkoły Zarządzania i Administracji w Opolu dało się znaleźć katalog !!!-baza a w nim plik o nazwie ws Wspomniany plik ważył ponad 80 MB i zawierał różne dane osobowe, numery albumów, nazwiska i PESEL-e ponad 2,3 tys. studentów. Na szczęście uczelnia zareagowała błyskawicznie gdy to zgłosiliśmy. Informatyk zaczął przeglądać cały serwis by się upewnić, że nigdzie przypadkiem nie pozostawiono innych plików. Pouczono pracowników odpowiedzialnych za tę sprawę i zapewniono nas, że taka sytuacja już się nie powtórzy. 3. PESELE i numery telefonów kandydatów Przenosimy się do Białegostoku. Na stronie tamtejszego Uniwersytetu Medycznego dało się znaleźć plik XLS z wynikami testów. Na pierwszy rzut oka dokument wyglądał niewinnie. Wystarczy spojrzeć na sam dół by zauważyć, że jest jeszcze drugi arkusz o nazwie “All”. Tam znalazły się dane wszystkich osób, które uczestniczyły w teście predyspozycji. Imiona, nazwiska, drugie imiona, numery telefonów i numery PESEL. Wystarczająco dużo, by się przejmować. W sumie w dokumencie były dane 75 osób. W takich sytuacjach zwykle wysyłamy do uczelni maila i natychmiast dzwonimy. Rzecznik prasowy UMB Marcin Tomkiel zadziałał szybko i dostęp do pliku został zablokowany kilka minut po naszej rozmowie telefonicznej. W przesłanym później oświadczeniu Marcin Tomkiel napisał. Plik został zamieszczony omyłkowo w formacie xls jako druga zakładka, zamiast w formacie pliku PDF z niewidocznymi danymi osobowymi. Mając świadomość ochrony danych osobowych staramy się rzetelnie przestrzegać litery prawa i dbać o ich poufność. Zaistniała sytuacja była wynikiem ludzkiego błędu. Kierownik działu przeprowadził rozmowę dyscyplinującą i uczulił swoich podwładnych na zachowanie należytej staranności przy zamieszczaniu dokumentów dostępnych publicznie. Mamy zamiar niezwłocznie poinformować studentów, których dane zostały upublicznione o zaistniałej sytuacji. Redakcji portalu jeszcze raz dziękujemy za zwrócenie nam uwagi na zamieszczenie nieodpowiedniego pliku. Dopełnimy wszelkich starań, aby w przyszłości podobna sytuacja nigdy się nie powtórzyła. Pogrubiliśmy zdanie o informowaniu studentów gdyż jest to bardzo ładny gest ze strony uczelni. Zazwyczaj o wyciekach muszą informować przedsiębiorcy telekomunikacyjni, natomiast inne firmy i instytucje unikają tego. Cieszy nas to, że Uniwersytet Medyczny w Białymstoku chce być w tej kwestii przejrzysty. 4. PESELE i numery albumów… i jeszcze coś. Podobny problem jak wyżej miała inna uczelnia o profilu medycznym – Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi. Na jej serwerze dało się znaleźć publicznie dostępny plik zawierający – na pierwszy rzut oka – PESELe i numery albumów. Już sama informacja łącząca PESEL z numerem albumu może stanowić zagrożenie dla prywatności studenta. Niestety pełne nazwiska też znalazły się w tym dokumencie, tylko były niewidoczne. Aby je odczytać należało zaznaczyć obszary w tabelce, skopiować je i wkleić gdzie dusza zapragnie. Wypada jeszcze dodać, że dane z dokumentu były zindeksowane w Google. Zgłosiliśmy ten problem uczelni i reakcja była szybka. Komentarza w tej sprawie udzieliła nam Aleksandra Mysiakowska, Pełnomocnik Kanclerza ds. Relacji Zewnętrznych. Przede wszystkim dziękuję w imieniu Uczelni za zwrócenie uwagi na zaistniały problem. Wskazany plik został niezwłocznie usunięty z serwera, obecnie prowadzimy wewnętrzne postępowanie wyjaśniające i sprawdzające, które ustali okoliczności zdarzenia, w tym przyczyny zamieszczenia pliku we wskazanej postaci. Podejrzewamy, że mógł to być jednostkowy i nieumyślny błąd ludzki – nieprawidłowo przygotowany plik. Do takiej sytuacji doszło pierwszy raz i dołożymy wszelkich starań, aby podobne zdarzenie nie miało więcej miejsca. Dokonujemy przeglądu wszystkich naszych publikacji na stronie internetowej i procedur zabezpieczenia danych osobowych. Na cyklicznym szkoleniu pracowników w zakresu ochrony danych osobowych ten przypadek zostanie szczegółowo zdiagnozowany i omówiony, w celu zminimalizowania prawdopodobieństwa popełnienia błędów w przyszłości. Jeszcze raz dziękujemy za udzielona pomoc. 5. PESELE wykładowców :) Do tej pory zawsze opisywaliśmy wycieki danych studentów. Politechnika Wrocławska postanowiła zrobić w tym trendzie C-C-C-Combo Breaker. Uczelnia korzysta z rozwiązania Pozwalało ono osobom niezalogowanym na przeglądanie informacji o pracownikach uczelni. To oczywiście żaden problem i fakt zatrudnienia kogoś na uczelni nie jest tajemnicą. Dane na zrzucie powyżej zaczerniliśmy właściwie niepotrzebnie. Prawdziwy problem dało się znaleźć po kliknięciu w “Szczegóły”. Karty pojedynczych pracowników ujawniały ich PESELe i numery rachunków bankowych, ale było to widoczne po zajrzeniu w źródło strony. Dane nie były widoczne w przypadku każdego pracownika. W większości przypadków w kodzie były puste miejsca, ale zidentyfikowaliśmy kilku pracowników, u których ujawniono sam PESEL lub PESEL i numer konta. Zespół Bezpieczeństwa Informacji PWr szybko zareagował na nasze zgłoszenie i udzielił poniższej odpowiedzi. Wskazany problem został zgłoszony do dostawcy systemu odpowiedzialnego za kod źródłowy. Źródłem problemu było najprawdopodobniej nieskuteczne usunięcie danych z katalogu (elementy zostały usunięte z widoczności, ale pozostały w kodzie) – czekamy na dokładne wyjaśnienie ze strony dostawcy. Do czasu poprawy błędu katalog nie będzie udostępniany. Pozostałe elementy portalu zawierające dane osobowe, zostaną zweryfikowane pod kątem podobnych podatności 6. “Mocne” hasła na Politechnice Warszawskiej Politechnika Warszawska zapewnia swoim klientom konta e-mailowe w formacie nralbumu@ Na konta można się dostać wpisując pozornie mocne hasło, złożone z cyfr, liter i znaków specjalnych. Problem w tym, że hasła są generowane według reguły, która jest wszystkim doskonale znana. Są to pierwsze litery miejsca urodzenia, ostatnie 3 cyfry numeru albumu, znak specjalny (zależny od cyfry numery albumu), pierwsze litery imion rodziców. Pamiętacie pierwszy odcinek z cyklu przygód hakera Janusza? Złamanie takich haseł nie wydaje się szczególnie trudne. Dodajmy, że studenci naprawdę korzystają z tych skrzynek, bo preferują to niektóre wydziały, a poza tym dzięki skrzynce da się korzystać za darmo z pakietu office i microsoftowej chmury. Pewien nasz Czytelnik twierdzi, że haseł nie da się zmienić. Strona PW twierdzi, że jest to możliwe. Nawet jeśli, to trudno uznać domyślnie proponowane hasła za mocne, a procedura zmiany hasła powinna być w takiej sytuacji wymuszona. Poza tym nasz Czytelnik dodał: Jakieś pół roku temu pisaliście o systemie SJO PW. Pan [tu nazwisko pracownika PW] okazał się słowny tylko połowicznie: faktycznie zapisy na uczelniane egzaminy przeniesiono do sysetmu USOS, jednak nadal przez portal sjo można na przykład wypisać kogoś z zapełnionego lektoratu i zająć jego miejsce. Mam nadzieję, że kiedyś coś się w końcu ruszy 7. Mam tu Pana hasło! Politechnika Warszawska ewidentnie ma problem z hasłami nie tylko w przypadku kont e-mail. Studenci PW zwrócili nam uwagę na dwie ciekawostki. Jedną z nich była poniższa historyjka, nie wymagająca chyba dodatkowego komentarza” Kończąc studia inżynierskie, należało wypełnić obiegówkę. W tym celu należało również udać się do Biblioteki Głównej, po wpis. Tam Pani mi powiedziała, że jako, że kontynuuję studia na magisterskich, może mi od razu przedłużyć ważność konta bibliotecznego. Zgodziłem się. Zapytała mnie potem o to, czy pamiętam swoje hasło do systemu bibliotecznego (…). Powiedziałem, że nie, a Pani mi odpowiedziała, że jest to hasło X znakowe (w sensie powiedziała mi dokładnie ile znaków ma moje aktualne hasło). Policzyłem na palcach liczbę znaków w haśle, które przypomniało mi się, że mogłem mieć ustawione jako hasło w systemie bibliotecznym, no i liczba się zgadzała. Zdziwiony zapytałem: “czy wyświetla się Pani moje hasło na monitorze”. Ona odpowiedziała, że tak, mają możliwość podglądu haseł kont w systemach bibliotecznych (WOW). Dalej mnie zapytała, czy chcę ustawić nowe hasło, odpowiedziałem, że tak. No i podała mi kartkę i powiedziała, żebym napisał jej hasło, jakie sobie chcę ustawić… Temat systemów bibliotecznych wałkowaliśmy już kilkakrotnie i wyjaśnialiśmy, że wiele zależy od sposobu wdrożenia tych rozwiązań, które są dostępne na rynku. 8. Logowanie na nr albumu i …inicjały ujawnia numer telefonu i adres Na Uniwersytecie w Białymstoku logowanie do katalogu biblioteki odbywało się poprzez taki formularz. Według naszego Czytelnika numer karty bibliotecznej jest taki sam jak numer albumu, więc odgadnięcie danych logowania innej osoby nie było trudne. Po zalogowaniu się, można było zobaczyć adres i numer telefonu danej osoby. Zgłosiliśmy sprawę władzom UWB i po kilku dniach otrzymaliśmy taką odpowiedź. Szanowny Panie Redaktorze, przede wszystkim dziękujemy za zwrócenie uwagi na problem związany z bezpieczeństwem danych w systemie bibliotecznym Aleph Biblioteki Uniwersyteckiej w Białymstoku. Po sygnale od Państwa redakcji pracownicy BU bezzwłocznie podjęli prace mające na celu zwiększenie bezpieczeństwa użytkowników i ich danych, polegające na wprowadzeniu usługi centralnego uwierzytelniania (CAS). Jednocześnie do czasu zakończenia tych prac: – wszelkie wrażliwe dane (adres, nr telefonu jeżeli był podany) zostały ukryte z widoku po zalogowaniu się na konto czytelnika, – dodatkowo z bazy prac dyplomowych usunięte zostały numery legitymacji. Zatem obecnie, po zalogowaniu do usług katalogowych systemu bibliotecznego Aleph, czytelnicy – w tym studenci – nie mają dostępu do wrażliwych danych osobowych. Nie możemy natomiast zrezygnować z tzw. historii wypożyczeń, bo jest to informacja przydatna, a w pewnych wypadkach niezbędna dla użytkowników – np. w celu przedłużenia terminu zwrotu publikacji. Jak najbardziej stoimy na stanowisku, że sposób logowania powinien wykorzystywać bardziej unikalny login i hasło. W tym celu pracownicy BU, we współpracy z naszym Działem Aplikacji Komputerowych, rozpoczęli już prace w celu umożliwienia studentom logowania się do katalogu w Aleph bezpiecznymi technikami opartymi o system CAS współdzielony z innymi aplikacjami studenckimi, np. USOS. Jeszcze raz przypomnimy, że w poprzednim tekście o uczelnianych wpadkach pisaliśmy o systemie ALEPH. Przewidziano w nim rozwiązania istotne dla bezpieczeństwa, ale niestety w poszczególnych wdrożeniach nie zawsze są one stosowane. 9. USOS niczym Facebook Studenci pisali do nas także w sprawie systemu USOS Uniwersytetu Łódzkiego. Można w nim było wpisać numer indeksu studenta, żeby pojawił się podgląd jego profilu (z imieniem, nazwiskiem i przedmiotami). Samo wyszukiwanie studentów wymagało bycia zalogowanym do systemu, ale przecież studentów jest sporo i niekoniecznie wszyscy muszą chcieć, aby ich profil był dostępny dla wszystkich innych. Na pytania o system USOS odpowiedział nam Tomasz Boruszczak, rzecznik prasowy Uniwersytetu Łódzkiego. USOS jest systemem stworzonym przez MUCI (Międzyuniwersyteckie Centrum Informatyzacji) i jako gotowy produkt jest wdrażany na poszczególnych uczelniach. Informacje jakie podaje USOS o innych studentach po zalogowaniu to: imię, nazwisko, nr indeksu, kierunek i status studiów, adres mailowy oraz informacje o wspólnych grupach. Nie można przejrzeć wszystkich przedmiotów innego studenta. W założeniach katalog miał pomagać studentom w kontakcie z kolegami i wykładowcami. Uniwersytet Łódzki ma świadomość, że część informacji jest nadmierna np. kierunek studiów i jego status. Problem ten został zgłoszony do MUCI na początku roku. Czy jest to zbytnia ingerencja w prywatność studenta? To trudne pytanie. Z jednej strony studenci oczekują poszanowania prywatności, z drugiej dla wygody kontaktu tworzą grupy zajęciowe na Facebooku i łączą się prywatnymi profilami. Większość z nich na portalu społecznościowym chwali się kierunkiem studiów i zaliczeniem sesji. Można oczywiście rozważać czy taki katalog w USOSie jest potrzebny. Obecnie może on funkcjonować w takiej formie lub zostać wyłączony. Ze względu na brak zastrzeżeń ze strony studentów funkcjonalność jest nadal utrzymywana choć nie wykluczamy zamknięcia tej usługi. Odczuwamy potrzebę polemizowania. Nawet jeśli studenci mają konta na Facebooku to wcale nie oznacza domyślnej zgody na publikowanie ich danych w innych systemach. Posiadanie konta na Facebooku jest wyborem danej osoby, natomiast profil w USOS najwyraźniej jest domyślnym dodatkiem do statusu studenta uczelni. To ogromna różnica. Jeśli jesteście studentami UŁ i to wam przeszkadza, powinniście zacząć to zgłaszać. 10. Hasło = login! Spróbuj! Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach też ma system USOS, a strona logowania do tego systemu jest… hmmm… zastanawiająca (żółte podświetlenie tekstu zostało dodane do obrazka). Choć wygląda to niepokojąco to rzecznik UPH dr hab. Adam Bobryk zapewnił nas, że użytkownicy logują się do usług UPH za pomocą loginu i hasła, które są od siebie różne i muszą spełniać określone wymagania. Niestety nie wyjaśniono nam dlaczego strona logowania podpowiada inaczej. 11. Zaświadczenie dla kumpla Pewien student Uniwersytetu Ekonomicznego w Krakowie doniósł nam, że udało mu się pobrać z dziekanatu “zaświadczenia dla kumpli”. Podaj tylko numer albumu (jawnie dostępny), nie musisz nawet udawać kogoś innego, śmiało dali mi ostatnio 6 szt dla kolegów – Na zaświadczeniu, imię, naziwsko, pesel, adres zamieszkania (dane już poufne)ale co tam. – Miej numer albumu i pesel – Zaloguj się do wirtualnego dziekanatu – miej dostęp do wszystkich ocen (może nie przypałowe) – Jak ktoś składał wniosek o stypendium socjalne mniej dane wszystkich członków rodziny, łącznie z zarobkami, zaświadczeniami z US etc – Miej wgląd do wszystkich wniosków typu “Ze względu na ciężą sytuację~~ razem z dokumentacją) – Oczywiście bądź w 100% anonimowy :) bo nikt nie weryfikuje kto pobiera zaświadczenie. Zgłosiliśmy uczelni ten problem. Rzecznik uczelni Paweł Kozakiewicz zapowiedział, że niezwłocznie “zostało wszczęte postępowanie sprawdzające w zakresie bezpieczeństwa informacji, w tym w szczególności w zakresie przestrzegania zasad i wymagań dotyczących ochrony danych osobowych. W trakcie tego postępowania zostaną zweryfikowane wskazane przez Pana Redaktora okoliczności.” Najprawdopodobniej teraz trudniej będzie uzyskać zaświadczenie dla kumpli. Przepraszamy, że wam to utrudniliśmy :>. 12. i 13. Rekrutacja na Uniwersytet Warszawski i pralki na AGH W naszej redakcyjnej szufladzie są jeszcze historyjki o ludziach, którzy znaleźli ciekawe podatności w uczelnianych systemach. Jeden z naszych Czytelników znalazł błąd w systemie IRK Uniwersytetu Warszawskiego, który pozwalał wykradać dane kandydatów na studia. Luka została ujawniona odpowiedzialnie i załatana. Uczelnia potwierdziła dla nas, że problem istniał. Być może opiszemy to dokładniej w przyszłości. Inny z naszych Czytelników zdobył dostęp do danych studentów z miasteczka AGH. Powodem były ogólnie dostępne panele zarządzania oraz ich wersje testowe pracujące na oryginalnej bazie. Po e-mailowym kontakcie naszego Czytelnika z uczelnią wstawiono logowanie i wymagane certyfikaty SSL. Rzeczniczka AGH Anna Żmuda-Muszyńska wyjaśniła nam, że ten incydent dotyczył… systemu samoobsługi studentów w zakresie dokonywania rezerwacji pralni (więc i coś takiego może mieć uczelnia!). Informacje, do których był dostęp, to imię i nazwisko mieszkańca akademików, i dostępne były tylko do odczytu. Luka wynikała z braku ograniczenia liczby zapytań do bazy danych za pomocą API, które to API – według uczelnia – wymagało zalogowania i nie było zupełnie ogólnodostępne. Na pocieszenie dodajmy, że systemy informatyczne miasteczka studenckiego były audytowane przez zewnętrzną firmę, na zlecenie Prorektora ds. Nauki, w marcu 2015, wraz z kilkoma innymi systemami. Z AGH związany jest jeszcze jeden z naszych akademickich przypadków. 13. Aplikacja AGH i rozważania o API (nie incydent, ale ciekawe) Pewna osoba poinformowała nas, że ma zastrzeżenia do aplikacji mobilnej Wirtualny Dziekanat AGH. Aplikacja nie została przygotowana przez uczelnię, ale przez studenta Jana Pogockiego, choć później uczelnia “zaakceptowała aplikację”. Nasz informator twierdził, że aplikacja “nie ma żadnych tokenów, nie korzysta z żadnego API”, a zatem władze uczelni nie są w stanie sprawdzić, czy jej twórca nie loguje się na konta innych osób. Informator zasugerował też, że uczelnia nie ma dostępu do kodu źródłowego. Rozmawialiśmy o tej sprawie zarówno z Janem Pogockim jak i z uczelnią. Okazało się, że AGH ma wgląd w kod źródłowy i to po każdej aktualizacji (przez dostęp do repozytorium na GitHubie). Akceptacja samej aplikacji odbyła się przy udziale Uczelnianego Centrum Informatyki (UCI), w którym — i wiemy o tym z autopsji — nie pracują przypadkowi ludzie. Władze uczelni przyznały jednak, że aplikacja nie korzysta z żadnego API (studenci muszą podać swoje prawdziwe hasło do systemu i aplikacja to hasło wykorzystuje do logowania, a zatem możliwe jest, aby jej autor wszedł w jego posiadanie — dop. redakcji). Jan wyjaśnił nam, że aplikacja jest w sumie czymś w rodzaju przeglądarki dla strony Wirtualnego Dziekanatu (niezbyt przyjemnej w oryginalnej formie, o czym wiemy od kilku studentów). Zapewnił też, że aplikacja nie wysyła prywatnych danych i haseł poza oficjalne serwery AGH, a komunikacja z serwerem Dziekanat AGH przebiega w oparciu o bezpieczny protokół HTTPS. Nie wątpimy w dobrą wolę Jana i nie chcemy złośliwie krytykować jego aplikacji i pozytywnego wkładu w studenckie życie. Niemniej pozwoliliśmy sobie na odrobinę teoretyzowania i zadaliśmy uczelni następujące pytanie. Czy uczelnia nie sądzi, że tego typu aplikacja powinna funkcjonować w oparciu o API? Od kogoś z UCI, za pośrednictwem pani Anny Żmudy-Muszyńskiej dostaliśmy taką odpowiedź. Przy funkcjonowaniu w oparciu o API mamy ten sam problem o ile nie większy, zawsze jest moment, że trzeba zapamiętać hasło w aplikacji. Przy dostępie przez API jest dodatkowe ryzyko, że API może udostępniać więcej informacji niż przeglądarka, tutaj mamy stronę internetową przeglądniętą i wielokrotnie zweryfikowaną użytkowników. Co!? Zabrakło nam słów, żeby to skomentować, ale każdy student pierwszego roku na AGH, nawet socjologii, powinien wiedzieć, dlaczego to powyższa krytyka API jest błędna. Z Janem też rozmawialiśmy o API. On przyznał nieco rozsądniej niż uczelnia, że “API z pewnością bardzo by się przydało“. Powtórzymy jeszcze raz, że nie mamy żadnych zastrzeżeń do Jana, autora aplikacji. Zrobił on aplikację najlepiej, jak było można w obecnych warunkach i chciał nią rozwiązać pewien studencki problem. To jest fajne. Natomiast również Jan w e-mailu do nas zauważył, że każdy mógłby zrobić konkurencyjną aplikacje z backdoorem i ten ktoś “uzyskałby dane tych, których udałoby mu się przekonać do swojej aplikacji“. I tutaj się z Janem w 100% zgodzimy dodając, że jego aplikacja uzyskała wsparcie AGH, co znacznie ułatwia przekonywanie do niej ludzi. Wszystkim użytkownikom aplikacji Jana sugerujemy — na wszelki wypadek — ustawienie do Wirtualnego Dziekanatu hasła niewykorzystywanego w żadnym innym miejscu. Ba! Zawsze wszystkim zalecamy stosowanie różnych haseł do różnych serwisów! 15. Uniwersytet Ślaski w Katowicach – dobry przykład Pewien student Uniwersytetu Śląskiego w Katowicach odkrył, że będąc zalogowanym w USOSWeb może wpisać w wyszukiwarkę osób losowy, sześciocyfrowy numer. W wynikach wyszukiwania pojawi się osoba przypisana do tego numeru. Nasz Czytelnik nie wiedział czy jest to zagrożenie dla bezpieczeństwa, ale na wszelki wypadek dał nam znać. Poinformowaliśmy o tym uczelnię. Przy okazji spytaliśmy, czy jej zdaniem wyszukiwanie studentów w USOS w ogóle jest potrzebne? Nasza wiadomość została potraktowana poważnie. Rzecznik Uczelni Jacek Szymik-Kozaczko napisał: Szanowni Państwo, z założenia jednym z zadań systemu USOSWeb jest umożliwienie komunikacji pomiędzy członkami społeczności akademickiej. W tym też celu został zaimplementowany katalog, na który zwróciliście Państwo uwagę, umożliwiający wyszukiwanie pracowników i studentów. Uważamy bowiem, podobnie jak inne uczelnie wykorzystujące system USOSWeb, iż jednym z istotnych czynników wpływających na proces studiowania jest możliwość interakcji z innymi członkami społeczności akademickiej. Zwracamy uwagę, że wyszukiwanie studentów możliwe jest tylko dla osób zalogowanych do systemu. Nie jest to więc funkcjonalność dostępna „wprost” z Internetu dla osób innych niż członkowie społeczności akademickiej. Zakres zwracanych w katalogu danych obejmuje tylko podstawowe dane kontaktowe. Nie znajdują się tam dane np. dotyczące statusu studenta na programie studiów, zaliczenia przedmiotów, itp. Identyfikatory USOS ID oraz indeks są wykorzystywane wewnętrznie do identyfikowania osób. Można by powiedzieć, że pełnią funkcję techniczną. Żaden z tych identyfikatorów nie umożliwia według naszej wiedzy uzyskania dostępu do danych innych, niż wskazane w katalogu. Jakkolwiek wskazane numery mogą wskazywać na dane osób, to dostęp do tych danych wymaga zawsze autoryzacji, której bezpieczeństwo opiera się o inne składniki niż wspomniane numery USOS ID i indeks. Jakkolwiek zwykle zapytania takie jak Państwa burzą spokój służb odpowiedzialnych za bezpieczeństwo danych w niejednej organizacji, to my jesteśmy wdzięczni za Państwa uwagi. Od lat staramy się podchodzić starannie do kwestii bezpieczeństwa. Jest to kwestia wymagająca ciągłej uwagi. Jakkolwiek uważamy, że wskazane przez Państwa zachowanie systemu nie stwarza dużego ryzyka dostępu do nieuprawnionych danych, będziemy tą kwestię dalej analizowali. Przekażemy Państwa list do twórców systemu USOSWeb, tak aby tam również dokonano takiej analizy. Chcieliśmy pokazać ten przykład dobrej obsługi zgłoszeń bezpieczeństwa (i zrozumienia dla nas). Nie zawsze nasze obawy się potwierdzą, ale cieszymy się gdy ktoś rozumie, że nie sprawdzamy takich tropów dla przyjemności. Miło jest widzieć współpracę po tej drugiej stronie. Nie. To nie koniec! Mamy na tapecie kilka innych spraw okołouczelnianych dotyczących bezpieczeństwa, ale na dziś już zakończymy. Niebawem kolejny multipost. PS. Jeśli na waszej uczelni zauważyliście podobne (lub co gorsza poważniejsze) problemy, dajcie nam znać — gwarantujemy anonimowość. O tym serwisie i o innych sposobach na ochronę swoich danych w sieci podczas korzystania z różnych serwisów internetowych, w tym sieci społecznościowych, sklepów i bankowości opowiadamy w ramach naszych cyberwykładów, które są dedykowane firmom oraz w ramach naszych otwartych spotkań pt. “Jak nie dać się zhackować“, na które przyjść może każdy. Najbliższe tego typu spotkania odbędą się WARSZAWA: Czwartek, 18 stycznia 2018r., godz. 18:00. Miejsce: Kinoteka w Pałacu Kultury i Nauki. KRAKÓW: Poniedziałek, 22 stycznia 2018r., godz. 18:00 Miejsce: Tauron Arena Na powyższe wykłady możecie się zarejestrować w tym miejscu. Śpieszcie się, zostały ostatnie wolne miejsca! Przeczytaj także: Nie tylko wątroba może ucierpieć w czasie studiów. Dane osobowe studentów również. Uczelnie gromadzą informacje na temat studentów w różnych systemach i świadczą dla nich e-usługi, które nie zawsze są odpowiednio zabezpieczone. Niefrasobliwość ujawnia się w systemach bibliotecznych, ale i poza nimi także zdarzają się poważne wpadki. Oto kompilacja kilku incydentów dotyczących polskich uczelni jakie w analizowaliśmy w ostatnich miesiącach. Problemy uczelnianych bibliotek W kwietniu pisaliśmy, że loginy i hasła do kont na serwerze biblioteki Politechniki Wrocławskiej były przewidywalne. Każdy mógł się zalogować się na konto studenta i pozyskać jego dane osobowe, a nawet odciąć studenta od korzystania z usług biblioteki. Po opisaniu sprawy napisali do nas studenci innych uczelni, którzy dostrzegli podobne problemy na swojej Alma Mater. Adrian napisał do nas w sprawie Politechniki Rzeszowskiej. Chciałbym opisać bardzo podobną sytuację, która dotyczy na pewno studentów, którzy podjęli studia do roku 2015 (włącznie) na Politechnice Rzeszowskiej. Czy ten stan rzeczy jest obecny również wśród studentów, którzy podjęli studia po roku 2016, nie wiem. (…) Otóż dane logowania do systemu bibliotecznego (system ALEPH) wyglądają następująco: Login: Nr albumu Hasło: Nr albumu Kompromitacja, prawda? Sprawa jest o tyle ciekawsza, że numery albumów są przypisywane kolejno, np.: 140000, 140001, 140002, 140003 itd. wśród studentów danego kierunku. (…) Jestem pewien, że za przysłowiowy czteropak, jakiś student chętnie podeślę nam listę studentów swojego kierunku. (…) Każda szanująca się instytucja wymaga zmiany domyślnego lub tymczasowego hasła podczas pierwszego logowania. System ALEPH tego nie robi. Adrian zasugerował, że problem tkwi w systemie bibliotecznym (Aleph) używanym zarówno we Wrocławiu jak w Rzeszowie. Tylko czy jest to wina samego systemu czy konkretnego wdrożenia? Aby mieć lepszy ogląd na sprawę zwróciliśmy się do firmy Aleph Polska, która jest dystrybutorem popularnego systemu bibliotecznego. Odpowiedzi udzielił nam prezes Maciej Dziubecki. Czy system ALEPH posiada funkcje, które wymuszałyby zmiany haseł na kontach osób wypożyczających ujętych w systemie biblioteki? To zależy od jego konfiguracji. Może być tak, że wymusza i może nie wymuszać. (…) Stosowanie łatwych do odgadnięcia loginów i haseł NIE wynika z funkcjonalności systemu Aleph. Biblioteka sama decyduje o tym jaki to będzie login, czy będzie on przypadkowy lub unikalny. Mają dowolność w tej kwestii. (…) Również kwestie takie jak kontrola jakości hasła, wygasanie haseł, potwierdzanie przez e-mail lub SMS — wszystkie te funkcje są aktualnie dostępne. (…) Wielokrotnie na etapie wdrożenia i szkoleń spotykaliśmy się z taką odpowiedzią na propozycję włączenia LDAP-a: “A wiecie państwo, kiedyś ten LDAP wejdzie, więc wtedy wrócimy do tematu”. Tylko, że później ten LDAP nigdy nie występował. Nawet gdy później o to pytaliśmy, odpowiadano że administratorzy nie są gotowi. Temat się rozmywał. (…) Zdając sobie sprawę z występowania tego typu problemów szukamy jakiegoś rozwiązania. Być może będę w stanie powiedzieć coś o tym w przyszłości. Czyli problem nie tkwi w systemie ALEPH. Pozostało nam tylko spytać przedstawicieli Politechniki Rzeszowskiej, czy zdają sobie sprawę z problemu w tej konkretnej bibliotece. Właściwie nie musieliśmy pytać, gdyż Monika Zub, dyrektor Biblioteki Politechniki Rzeszowskiej, napisała do nas z własnej inicjatywy już w reakcji na tę wcześniejszą publikację o systemach bibliotecznych: Dziękujemy za zwrócenie uwagi na problem związany z systemem bibliotecznym Aleph w Politechnice Rzeszowskiej. Podjęliśmy niezwłocznie działania zmierzające do zwiększenia poziomu bezpieczeństwa naszych użytkowników. Warto też dodać, że choć Politechnika Rzeszowska umożliwiała logowanie się numerem albumu, to jednak logowanie takie było możliwe po osobistej aktywacji konta, w czasie którego podobno informowano o potrzebie zmiany hasła. Po 28 kwietnia 2017 roku dokonano zmian, które polegały na wymuszeniu zmiany hasła po pierwszym logowaniu i zastosowaniu jednorazowego pierwszego hasła składającego się z losowego ciągu znaków. Politechnika Rzeszowska zdecydowanie naprawiła sytuację i zrobiła to z własnej inicjatywy. AGH i zapomniana wyszukiwarka Problemy z systemami uczelnianymi wykraczają poza biblioteki. Od czasu do czasu ktoś poszpera i nagle znajdzie ciekawy uczelniany serwer, nierzadko z danymi osobowymi. W wrześniu nasz Czytelnik Dawid poinformował nas, że na stronie Akademii Górniczo-Hutniczej w Krakowie dostępna była wyszukiwarka studentów i pracowników uczelni. Wyglądała tak. Tajemnicza wyszukiwarka AGH Jeśli wpisało się do wyszukiwarki jedną literę lub sylabę, dostawało się listę studentów na tę literę lub sylabę. Wśród zwracanych danych były imiona, nazwiska, kierunek studiów, semestr i numer albumu. I już wiedzieliśmy kto gdzie studiuje! Gdy to zobaczyliśmy zadaliśmy sobie proste pytanie. Po co? Po co komu taka wyszukiwarka? Ujawnianie numerów albumów może mieć znaczenie. Pisaliśmy już, że dane krakowskich studentów dało się wyciągnąć z systemów MPK właśnie na podstawie numeru indeksu. Opisany wyżej przypadek Politechniki Rzeszowskiej też pokazuje, że ujawnianie takich danych jest ryzykowne. O sprawie został powiadomiony Bartosz Dębiński — rzecznik prasowy AGH. Krótko po otrzymaniu pytań odpowiedział nam tak: Wyszukiwarka została wyłączona i tak już zostanie (…) Przyznamy, że niewiele osób o niej wiedziało i również niewiele jej używało (…) Po przeanalizowaniu pańskiego zgłoszenia doszliśmy do wniosku, że ta wyszukiwarka po prostu nie ma sensu, nikt tego nie potrzebuje. Dziękujemy za zgłoszenie sprawy. Dzięki temu możliwe było usunięcie problemu. Wszystkich 3 użytkowników tej wyszukiwarki bardzo przepraszamy :) Politechnika Warszawska i SJO Kolejny przykład z cyklu “stare lub dziwne systemy uczelniane” pochodzi z Politechniki Warszawskiej. Tamtejsze Studium Języków Obcych ma swój system, do którego logujemy się przez taką oto stronę. Nikt nie prosi o hasło? Aby się zalogować wystarczy podać wydział, nazwisko i numer albumu. Żadnego hasła. Nasz Czytelnik opisał problem w takich słowach. Zalogowałem się właściwie pierwszy raz w czasie studiów, do tej pory nie było mi to potrzebne, więc zdziwiłem się, że żeby zalogować się na konto wystarczy podać wydział, imię, nazwisko i numer albumu — czyli właściwie wszystkie te informacje o dowolnym studencie zna połowa jego wydziału i niby nie byłoby w tym nic niebezpiecznego, poza faktem że można w ten sposób odwołać swoje uczestnictwo w egzaminie, więc kilkadziesiąt osób z mojego kierunku może w dowolnej chwili zrobić mi psikusa i wypisać mnie chwilę przed deadlinem, a potem bujaj się człowieku, chodź po dziekanatach, a SJO też do najprzyjemniejszych miejsc nie należy. Gdy spytaliśmy o sprawę PW. Przedstawiciel uczelni przedstawił nam takie stanowisko. Nie uważamy za w pełni bezpieczne to rozwiązanie. Jednak w systemie mamy pełną historię dotyczącą zapisów i odwołań, także w przypadku gdyby ktoś zgłosił, że został wypisany z zajęć moglibyśmy na szybko zareagować i zbadać konkretny przypadek. W każdym razie to były ostatnie takie zapisy, kolejne zapisy będą oparte na CAS (Central Authentication Service) tak jak to jest np. w USOS WEB a niektóre z nich zostaną włączone bezpośrednio do USOS. Kojarzy się to z problemami bibliotecznymi (“Wiemy, że korzystamy z niebezpiecznego rozwiązania i kiedyś je poprawimy” — w przypadku PW to “kiedyś” ma nastąpić następnym razem) Uniwersytet Wrocławski i 11000 CV w “głębokim ukryciu” Problemem serwisów uczelnianych jest również to, że są one rozwijane przez różne podmioty, nie zawsze z dbałością o bezpieczeństwo. Takiej sytuacji dotyczy ostatni przykład, zdecydowanie najpoważniejszy ze wszystkich. W czerwcu 2016 roku nasz Czytelnik Antoni szukał w internecie informacji o pewnej osobie. Wyszukał jej CV, które znajdowało się wśród 11 tysięcy innych CV i listów motywacyjnych. Były one dostępne publicznie pod adresem czyli były to CV przekazane do biura karier uczelni. Autentyczność dokumentów można było potwierdzić sprawdzając Facebooka, ale my dodatkowo zadzwoniliśmy do kilku osób. Potwierdziły one, że faktycznie składały CV do biura karier i nie miały pojęcia, że ich dane osobowe są upublicznione w ten sposób. O “wycieku” powiadomiliśmy Uniwersytet Wrocławski. Początkowo nie uzyskaliśmy komentarza bo służby uczelni skupiły się na załataniu wycieku. Dzień po zadaniu pytania otrzymaliśmy następującą wiadomość: zgodnie z umową świadczenia usługi hostingowej zawartą w dniu roku oraz aneksem nr 1 z dnia roku firma Internet Center Polska sp. z świadczy usługę hostingową danych Biura Karier UWr. Do jej obowiązków należy przetwarzanie i właściwe zabezpieczenie znajdujących się na portalu Biura Karier danych osobowych. Po uzyskaniu informacji od Państwa JM Rektor UWr zwrócił się do usługodawcy o jak najszybsze zabezpieczanie danych i pilne wyjaśnienia: w jaki sposób i kiedy doszło do wycieku, jakie działania naprawcze podjęła firma w tej sprawie, jakie działania podjął usługodawca w celu uniemożliwienia osobom postronnym dostępu do danych, które wyciekły z serwera firmy. Po uzyskaniu wyjaśnień Rektor podejmie ewentualne, dalsze kroki prawne. Z poważaniem dr Jacek Przygodzki Na marginesie warto wspomnieć, że zabezpieczenie dostępu do systemów z danymi osobowymi nie jest tylko rozsądnym wyborem. To jest wymóg prawny wynikający z rozporządzenia ministra spraw wewnętrznych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie mówi o trzech poziomach bezpieczeństwa. Poziom wysoki (najwyższy) stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną. Na poziomie wysokim system musi być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń. Zabezpieczenia logiczne obejmują kontrolę działań inicjowanych z sieci publicznej oraz kontrolę przepływu informacji między systemem administratora danych a siecią publiczną. Ale już na poziomie podstawowym istnieje wymóg, by dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Uroki studenckiego życia Już przed laty pisaliśmy o niefrasobliwym podejściu różnych uczelni do danych. Sztandarowym przykładem były indeksy wyłożone na korytarzu bez żadnego nadzoru. Oczywiście takie zachowanie mogło wynikać z założenia, że studenci to grzeczni ludzie i taka okazja nie uczyni z nikogo złodzieja. Niestety studenci mogą odczuć pokusę wykorzystywania błędów nawet po to, aby dać władzom uczelni prztyczka w nos, albo po prostu, jak to studenci, dla jaj. AKTUALIZACJA Przepraszamy i chwalimy Politechnikę Rzeszowską Ten tekst w swojej pierwotnej wersji sugerował, że wypowiedź Moniki Zub (dyrektor Biblioteki Politechniki Rzeszowskiej) została nam przesłana jako odpowiedź na nasze pytania. Był to błąd, bowiem Pani Monika Zub napisała do nas z własnej inicjatywy, reagując na jeszcze wcześniejszy tekst o sytuacji na Politechnice Wrocławskiej. Politechnika Rzeszowska podjęła istotne działania by naprawić sytuację i zrobiła to bez związku z naszymi publikacjami, jeszcze przed ich opublikowaniem. Tekst został poprawiony, aby te kwestie nie budziły wątpliwości. Politechnika Rzeszowska przesłała do nas pismo, w którym zwróciła uwagę na tę kwestię, a także odniosła się do komentarza użytkownika “oskar”. Politechnika wyjaśnia, iż hasła udostępniane czytelnikom od maja br. nie są hasłami zapisanymi w systemie, ale hasłami jednorazowymi, wygenerowanymi w celu zresetowania hasła. Dziękujemy Politechnice za zwrócenie uwagi na nieścisłości i przepraszamy. AKTUALIZACJA #2 ( Jeden z naszych Czytelników napisał do nas, że termin “osobista aktywacja konta” nie był całkiem adekwatny do tego, co działo się na politechnice Rzeszowskiej. Tak przynajmniej było w roku 2015. Otóż po spotkaniu otwierającym rok akademicki dla studentów pierwszego roku odbywa się 10-15 minutowe spotkanie w bibliotece uczelnianej, gdzie bardzo uprzejme Panie organizują szybki kurs z obsługi systemu ALEPH. Wspomniana jednak “osobista aktywacja konta” ogranicza się (jeżeli mnie pamięć nie myli) do podpisania zgody na przetwarzanie danych osobowych. Faktycznie pojawia się również informacja, że po pierwszym logowaniu będzie trzeba zmienić hasło. W rzeczywistości jednak konta aktywowane są “hurtowo”. Koledzy z roku, którzy na spotkaniu nie byli i zgody nie podpisywali również mieli konta aktywne. Natomiast wymagana zmiana hasła była raczej dobrowolna. Do dzisiaj pamiętam moje zdziwienie, gdy system o żadną zmianę hasła mnie nie poprosił (…) Zastanawia mnie również dlaczego, w ogóle ktoś zmusza do korzystania z oddzielnych danych logowania do systemu bibliotecznego, skoro systemy USOS oraz SIR korzystają z tych samych zestawów danych logowania, tak samo jak poczta uczelniana czy system EDUROAM do łączenia się z uczelnianą siecią Wi-Fi. Podkreślamy – Czytelnik opisywał sytuację, jaka miała miejsce w roku 2015. Teraz Politechnika wprowadziła lepsze zabezpieczenia. Przeczytaj także: Rektor skreślił studentkę kierunku zarządzanie i inżynieria produkcji z listy studentów. Przyczyną było niezaliczenie pierwszego semestru. Studentka złożyła skargę. W odpowiedzi na nią, organ wniósł o jej oddalenie. Ponadto szczegółowo wyjaśnił motywy (17 stron uzasadnienia) swojego rozstrzygnięcia. Odpowiedź na skargę nie zastąpi uzasadnienia Sprawą zajął się WSA, który wskazał, że pismo procesowe, jakim jest odpowiedź na skargę nie może zastąpić czy też uzupełnić uzasadnienia decyzji. Jedynie uzasadnienie decyzji stanowi podstawę oceny jej zgodności z prawem. Przytoczenie okoliczności, które w ocenie organu uzasadniały wydanie rozstrzygnięcia o skreśleniu z listy studentów dopiero w odpowiedzi na skargę pozbawiło skarżącą możliwości odniesienia się do nich w toku postępowania administracyjnego. Sąd podkreślił, że nie jest kolejnym organem, uprawnionym do merytorycznego badania i rozstrzygania sprawy. Powinność wykazania, że należało wydać decyzję o skreśleniu z listy studentów spoczywa bowiem na rektorze. Czytaj także: WSA: Sąd nie zbada odmowy przeprowadzenia egzaminu komisyjnego >>> Niezaliczenie semestru nie zobowiązuje do skreślenia z listy studentów Na podstawie z art. 108 ust. 1 ustawy - Prawo o szkolnictwie wyższym i nauce (dalej jako: ustawa), studenta skreśla się z listy studentów w przypadku: niepodjęcia studiów; rezygnacji ze studiów; niezłożenia w terminie pracy dyplomowej lub egzaminu dyplomowego; ukarania karą dyscyplinarną wydalenia z uczelni. Natomiast zgodnie z art. 108 ust. 2 ustawy, student może być skreślony z listy studentów w przypadku: stwierdzenia braku udziału w obowiązkowych zajęciach; stwierdzenia braku postępów w nauce; nieuzyskania zaliczenia semestru lub roku w określonym terminie; niewniesienia opłat związanych z odbywaniem studiów. Czytaj też: Chałupka Marcin, Praktyczna potrzeba spisywania umów ze studentem w myśl ustawy > WSA wskazał, że analiza tych przepisów nie pozostawia wątpliwości, że wystąpienie jednej z przesłanek wymienionych w ust. 1 oznacza dla organu obowiązek wydania rozstrzygnięcia o skreśleniu z listy studentów (decyzja związana). Natomiast stwierdzenie zaistnienia jednej z przesłanek określonych w ust. 2 stanowi podstawę do wydania decyzji uznaniowej. Sąd zwrócił uwagę, że uznanie administracyjne wiąże się z przyznaniem organowi administracji publicznej luzu decyzyjnego, który polega na możliwości wyboru sposobu rozstrzygnięcia indywidualnej sprawy. Działanie organu musi się jednak mieścić w granicach zakreślonych przez art. 7 Kodeksu postępowania administracyjnego. Tym samym organ powinien dążyć do wyjaśnienia prawdy obiektywnej, a sprawę załatwić z uwzględnieniem interesu społecznego i słusznego interesu strony. Sąd podkreślił, że ocena, czy przy podejmowaniu decyzji doszło do przekroczenia granic uznania administracyjnego, wymaga ustalenia właściwych proporcji pomiędzy kryterium interesu społecznego a słusznym interesem strony. Wybór rozstrzygnięcia nie może być arbitralny W przypadku decyzji wydanej na podstawie art. 108 ust. 2 ustawy, organ uczelni może, ale nie musi skreślić studenta. Dlatego też wybór rozstrzygnięcia nie może być arbitralny, tylko powinien wynikać z kompleksowego rozważenia wszystkich okoliczności faktycznych. Szczególnie chodzi o wyważenie interesu społecznego i słusznego interesu studenta. WSA wskazał, że art. 7, art. 8, art. 77 par. 1 i art. 80 Kpa nakazują ustalenie istotnych w sprawie kwestii po wyczerpującym zebraniu, rozpatrzeniu i ocenie całego materiału dowodowego oraz kierowanie się przy tym zasadą prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej. Tymczasem analiza akt oraz uzasadnienia zaskarżonej decyzji prowadziła do wniosku, że została ona wydana z naruszeniem tych przepisów. To z kolei pociągnęło za sobą nieprawidłowe zastosowanie art. 108 ust. 2 pkt 3 ustawy. Sąd podkreślił, że jednozdaniowe uzasadnienie nie czyni bowiem zadość wymienionym wyżej standardom. Natomiast wywody i rozważania zawarte w odpowiedzi na skargę nie mogą poprawiać spornego rozstrzygnięcia. Mając powyższe na uwadze, WSA uchylił zaskarżoną decyzję. Wyrok WSA w Lublinie z 27 stycznia 2022 r., sygn. akt III SA/Lu 299/21 ------------------------------------------------------------------------------------------------------------------- Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

usunięcie studenta z uczelni