Uniwersytet Warszawski, jedna z największych uczelni w Polsce, oficjalnie potwierdził poważny incydent bezpieczeństwa. W nocy z 15 na 16 kwietnia 2026 roku w darknecie pojawił się zbiór około 200 tysięcy plików o łącznej wielkości 850 GB, pochodzących z zasobów cyfrowych uczelni. Znaczna część tych danych jest wrażliwa — obejmuje imiona, nazwiska, numery PESEL, numery dokumentów tożsamości, dane kontaktowe, a nawet informacje o stanie zdrowia zawarte w zwolnieniach lekarskich.
Jak doszło do włamania?
Atak nie był efektem wyrafinowanego exploita czy luki w oprogramowaniu. Napastnicy zalogowali się do systemów UW przy pomocy prawidłowych danych dostępowych — loginu i hasła jednego z użytkowników. Zgodnie z ustaleniami zespołu bezpieczeństwa uczelni, dane te zostały wcześniej przejęte w wyniku zainfekowania urządzenia tego użytkownika złośliwym oprogramowaniem typu infostealer.
To klasyczny dziś scenariusz: malware na prywatnym laptopie lub telefonie wykrada zapisane w przeglądarce hasła, ciasteczka sesyjne i tokeny. Cyberprzestępcy kupują te dane na podziemnych forach, a następnie wykorzystują je do logowania w firmowych czy uczelnianych systemach — często miesiącami bez wzbudzenia podejrzeń. Analiza wykazała, że proces kopiowania danych z UW trwał prawdopodobnie od stycznia do lutego 2026 roku, a więc napastnicy mieli dostęp przez co najmniej kilka tygodni.
Co konkretnie wyciekło?
Większość plików (650 GB) stanowią materiały o charakterze publicznym — prace naukowe, dokumenty administracyjne, materiały dydaktyczne. Jednak pozostałe 200 GB to dane wrażliwe. Wśród informacji, które mogły wpaść w niepowołane ręce, znajdują się:
- dane identyfikacyjne — imiona, nazwiska, numery PESEL, serie i numery dowodów oraz paszportów,
- dane kontaktowe — adresy zamieszkania, e-maile, numery telefonów,
- dane finansowe — numery rachunków bankowych,
- informacje o zatrudnieniu oraz zwolnienia lekarskie z danymi medycznymi,
- wizerunki osób.
Zdecydowana większość skopiowanych plików pochodzi z Wydziału Neofilologii oraz Wydziału Stosowanych Nauk Społecznych i Resocjalizacji, ale wyciek obejmuje szerszą grupę — studentów, doktorantów, kandydatów na studia, pracowników i współpracowników uczelni.
Nietypowy charakter ataku
W incydencie UW uderza coś jeszcze. W odróżnieniu od klasycznych operacji ransomware, dane nie zostały zaszyfrowane — uczelnia cały czas miała do nich dostęp i mogła z nich korzystać. Napastnicy nie wystąpili też z żądaniami finansowymi w zamian za nieupublicznianie zbioru. Po prostu opublikowali go w darknecie.
To sugeruje, że motyw mógł być inny niż czysto pieniężny — rozpoznawczy, wizerunkowy, a być może związany z konkretnymi wydziałami, których dane dominują w paczce. Sprawa została zgłoszona do Prezesa UODO, CERT Polska oraz Centralnego Biura Zwalczania Cyberprzestępczości.
Jak się chronić?
Atak na UW to lekcja dla każdego, kto korzysta z kont w systemach pracowniczych, uczelnianych czy bankowych:
- Dwuskładnikowe uwierzytelnianie (2FA) — najważniejszy bezpiecznik. Nawet jeśli ktoś wykradnie hasło, bez drugiego składnika się nie zaloguje. Preferuj aplikacje uwierzytelniające lub klucze sprzętowe zamiast SMS-ów.
- Unikaj zapisywania haseł w przeglądarce — infostealery w pierwszej kolejności polują właśnie na tę bazę. Używaj dedykowanego menedżera haseł z szyfrowaniem master password.
- Regularny antywirus i aktualizacje systemu — infostealery trafiają często przez pirackie oprogramowanie, fałszywe instalatory i podejrzane załączniki. Podstawowa higiena cyfrowa wciąż działa.
- Nie mieszaj konta prywatnego z służbowym — jeśli logujesz się do systemu uczelni czy firmy z prywatnego laptopa, jedno zainfekowane urządzenie staje się tunelem dla napastnika.
- Osoby, których dane mogły wyciec — warto założyć zastrzeżenie kredytowe w BIK, uważnie monitorować konta bankowe i być wyczulonym na próby wyłudzeń (phishing, telefony od „pracowników banku”).
Incydent na UW pokazuje, że najsłabszym ogniwem bezpieczeństwa rzadko jest technologia — częściej jest nim jedno zainfekowane urządzenie, jeden skradziony zestaw danych logowania i kilka tygodni niezauważonej obecności w sieci. Dla dużych organizacji oznacza to konieczność wdrożenia polityki zero trust, monitoringu nietypowych logowań i szybkiego wykrywania anomalii. Dla pojedynczych użytkowników — dbałości o własne urządzenia, bo to od nich zaczyna się większość dzisiejszych katastrof.