„Zawiadomienie kierowane jest do członków społeczności akademickiej Uniwersytetu Warszawskiego, w tym studentów, doktorantów, kandydatów na studia, pracowników, a także osób współpracujących z Uniwersytetem, których dane osobowe mogły zostać objęte incydentem, do jakiego doszło w nocy 15/16 kwietnia 2026 r.” - wskazano we wtorkowym komunikacie opublikowanym na stronie UW, powołując się na zobowiązania wynikające z RODO.

Uczelnia zapewniła, że od razu podjęła działania, aby ograniczyć skutki zdarzenia i lepiej zabezpieczyć dane na przyszłość. „Na bieżąco analizujemy sytuację i robimy wszystko, co możliwe, aby podobne incydenty się nie powtórzyły. Jednocześnie Uniwersytet Warszawski dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz prowadzona jest aktywna współpraca z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC)” - czytamy w komunikacie.

Jak wyjaśniono, do naruszenia ochrony danych osobowych doszło w wyniku nieuprawnionego dostępu do systemów informatycznych UW. Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika.

„Dzięki użyciu poprawnych danych logowania aktywność ta przez dłuższy czas nie wzbudzała podejrzeń. Osoby odpowiedzialne za atak działały w sposób rozproszony i trudny do wykrycia, stopniowo uzyskując dostęp do kolejnych elementów systemu” - podkreślono.

W trakcie incydentu doszło do naruszenia poufności, czyli nieuprawnionego dostępu do danych osobowych, ich skopiowania, a następnie udostępnienia w internecie. „Nie można całkowicie wykluczyć potencjalnej modyfikacji danych. Nie doszło natomiast do trwałego zablokowania dostępu do danych (zaszyfrowania) lub zakłócenia działania kluczowych systemów uczelni” - zaznaczono.

Według UW incydent został wykryty 9 lutego br., a po jego wykryciu natychmiast podjęto działania zabezpieczające. Z przeprowadzonych analiz wynika zaś, że dane mogły zostać skopiowane w okresie od stycznia do lutego 2026 r., a ich publikacja w darknecie nastąpiła w nocy 15/16 kwietnia 2026 r.

„W toku analizy ustalono, że opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB)” - podano w komunikacie.

Jak poinformowano, zdecydowana większość plików z danymi osobowymi pochodzi z dwóch wydziałów UW - Neofilologii oraz Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym.

„Jednocześnie część zbioru (ok. 200 GB) zawierała różnego rodzaju dane, w tym dane osobowe. Spośród nich ok. 32,8 tys. plików mogło zawierać dane osobowe” - podała uczelnia.

Jak czytamy, zdarzenie mogło dotyczyć w szczególności: pracowników UW, studentów, kandydatów na studia, doktorantów, byłych pracowników i współpracowników, innych osób związanych z działalnością uczelni.

Zakres danych osobowych był zróżnicowany i w zależności od przypadku mógł obejmować m.in.: dane identyfikacyjne, w tym szczególnego rodzaju (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo, numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika), dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych), dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia).

„Na obecnym etapie nie możemy jednoznacznie potwierdzić, czy i których konkretnie osób dane zostały objęte incydentem. Analiza zdarzenia nadal trwa” - poinformował UW. „Nie ma pewności czy Państwa dane zostały wykorzystane, jednak zalecamy zachowanie szczególnej czujności oraz podjęcie działań, które pozwolą ograniczyć potencjalne skutki zdarzenia” - wskazała uczelnia.

Jak zaznaczono w komunikacie, z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Potencjalne konsekwencje (w zależności od zakresu danych) mogą obejmować m.in.: utratę kontroli nad danymi i prywatnością, kradzież tożsamości i wykorzystanie danych.

Wśród rekomendowanych środków zaradczych UW wymieniła m.in.: zabezpieczenie tożsamości i danych finansowych poprzez np. zastrzeżenie numeru PESEL, monitorowanie aktywności kredytowej poprzez założenie konta w systemach informacji kredytowej i gospodarczej (np. BIK, BIG, KRD, ERIF) oraz włączenie alertów o próbach wykorzystania danych; zabezpieczenie dostępu do kont i usług poprzez zmianę haseł do poczty elektronicznej, bankowości, systemów uczelnianych i innych serwisów — hasła powinny być unikalne dla każdego konta. Zalecana jest też ostrożność w kontaktach i komunikacji, ograniczenie dostępności danych w przestrzeni publicznej.

„Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o możliwie niezwłoczne przekazanie tej informacji oraz podjęcie odpowiednich działań, w tym kontakt z właściwymi instytucjami” - czytamy w komunikacie uczelni.

UW zachęcił też do regularnego śledzenia komunikatów na swojej stronie internetowej. (PAP)

ekr/ agt/