Cichy cyberatak na UW. Przez tygodnie kopiowali dane bez śladu

W połowie kwietnia sprawa, o której początkowo mówiono dość ostrożnie, nabrała zupełnie nowego ciężaru. W nocy z 15 na 16 kwietnia w darknetcie pojawił się obszerny zbiór danych pochodzących z systemów Uniwersytetu Warszawskiego. Uczelnia oficjalnie potwierdziła incydent i przyznała, że część z niemal 33 tysięcy skopiowanych plików może zawierać dane wrażliwe należące do studentów, pracowników i kandydatów.

To jednak nie był nagły atak w klasycznym rozumieniu. Z ustaleń wynika, że cyberprzestępcy uzyskali dostęp do infrastruktury IT już na przełomie stycznia i lutego 2026 roku. Co istotne, nie doszło do spektakularnego „włamania” – wykorzystano prawidłowe dane logowania, najpewniej przechwycone wcześniej przy pomocy złośliwego oprogramowania zainstalowanego na komputerze jednego z użytkowników.

Taki scenariusz ma jedną kluczową konsekwencję: brak alarmów. Dysponując legalnymi danymi uwierzytelniającymi, atakujący mogli działać w systemie przez dłuższy czas, praktycznie niewidoczni dla standardowych mechanizmów bezpieczeństwa.

Efekt? Systematyczne kopiowanie danych na dużą skalę. Szacuje się, że wyprowadzono około 850 GB informacji. Choć infrastruktura uczelni nie została sparaliżowana ani zaszyfrowana – jak bywa w przypadku ataków ransomware – skala wycieku jest znacząca i potencjalnie dużo groźniejsza w dłuższej perspektywie.

Nie wszystkie dane mają jednakowy ciężar. Z około 200 tysięcy plików większość – mniej więcej 650 GB – stanowią materiały ogólnodostępne, głównie treści audiowizualne. Problem tkwi w pozostałej części, czyli około 200 GB dokumentów.

To właśnie tam znajdują się informacje powiązane głównie z Wydziałem Neofilologii oraz Wydziałem Stosowanych Nauk Społecznych i Resocjalizacji. Wśród nich:

• dane osobowe, w tym numery PESEL oraz informacje z dokumentów tożsamości,
• dane kontaktowe: adresy zamieszkania, numery telefonów, prywatne e-maile,
• informacje finansowe, w tym numery kont bankowych i dokumenty podatkowe,
• dokumentacja pracownicza, obejmująca historię zatrudnienia i umowy.

Tego typu zestaw danych to gotowy materiał do kradzieży tożsamości. Może zostać wykorzystany m.in. do zaciągania zobowiązań finansowych czy podszywania się pod ofiary w kontaktach z instytucjami.

Nowe ustalenia stawiają pod znakiem zapytania wcześniejsze informacje przekazywane przez uczelnię. Gdy 9 lutego wykryto incydent, potwierdzono obecność złośliwego oprogramowania, ale jednocześnie podkreślano, że nic nie wskazuje na wyciek danych osobowych.

Dziś wiadomo, że sytuacja była poważniejsza. Dopiero analiza śledcza oraz publikacja plików w darknetcie ujawniły rzeczywistą skalę naruszenia. To pokazuje, jak trudne bywa szybkie i precyzyjne oszacowanie skutków cyberataków – zwłaszcza gdy intruz działa długo i dyskretnie.

Sprawą zajmują się już odpowiednie instytucje, w tym CERT Polska, Centralne Biuro Zwalczania Cyberprzestępczości oraz Urząd Ochrony Danych Osobowych. Równolegle uczelnia apeluje o ostrożność – nie tylko do obecnych studentów i pracowników, ale także do absolwentów i kandydatów.

Zalecenia są konkretne:

• zastrzeżenie numeru PESEL (np. w aplikacji mObywatel),
• aktywowanie alertów w systemach informacji kredytowej (BIK, KRD),
• zmiana haseł do kluczowych usług – bankowości, poczty i systemów uczelnianych,
• zachowanie szczególnej czujności wobec podejrzanych wiadomości i telefonów.

Na tym etapie nie ma jeszcze pełnej listy osób, których dane mogły zostać ujawnione. Sytuacja pozostaje dynamiczna, a śledztwo trwa. Jedno jest pewne – to jeden z najpoważniejszych incydentów tego typu w polskim środowisku akademickim w ostatnich latach.