Warszawa: hakerzy przez dwa miesiące kradli dane z UW. Twój PESEL może być już w darknecie

W nocy z 15 na 16 kwietnia 2026 r. na stronach darkwebu pojawiło się 850 GB danych wykradzionych z systemów Uniwersytetu Warszawskiego. Blisko 33 tysiące plików może zawierać wrażliwe dane osobowe – numery PESEL, numery paszportów, dane finansowe, informacje o stanie zdrowia i treść prywatnej korespondencji elektronicznej. Zagrożone są osoby, które miały kiedykolwiek jakikolwiek związek z uczelnią: studenci, doktoranci, kandydaci na studia, pracownicy i byli pracownicy. Hakerzy działali przez ponad dwa miesiące, zanim ktokolwiek odkrył faktyczną skalę kradzieży.

Jak hakerzy weszli do systemu – błąd ludzki, nie słaba ochrona

Atak nie polegał na złamaniu haseł czy sforsowaniu zapór sieciowych. Sprawcy posłużyli się prawidłowymi danymi logowania – loginem i hasłem użytkownika, który najprawdopodobniej padł ofiarą złośliwego oprogramowania zainstalowanego na jego urządzeniu. Malware mógł trafić na komputer pracownika przez zainfekowany załącznik mailowy, fałszywą stronę lub pobrany plik. Po przechwyceniu danych dostępowych sprawcy logowali się do systemów uczelni jak uprawniony użytkownik. Systemy bezpieczeństwa nie widziały nic podejrzanego – wszystko wyglądało jak normalna praca.

Analiza wykazana przez CyberDefence24 wskazuje, że zdecydowana większość skradzionych plików znajdowała się na stacjach roboczych pracowników – w folderze Pobrane, na pulpicie, w koszu systemowym. Hakerzy dosłownie przeszukiwali komputery pracowników i kopiowali to, co tam znaleźli. Incydent wykryto 9 lutego 2026 r. podczas prewencyjnego skanowania sieci. Wicepremier i minister Krzysztof Gawkowski potwierdził 17 lutego, że na jednej ze stacji roboczych uczelni znaleziono złośliwe oprogramowanie. UW poinformował wówczas, że nic nie wskazuje na wyprowadzenie danych poza sieć. Tej oceny nie potwierdziły dalsze śledztwa.

Dwa miesiące w ukryciu, jedna noc w darknecie

Lukę w komunikatach UW wskazuje wprost analiza portalu cyberdefence24.pl: w lutym uczelnia twierdziła, że nie ma dowodów na wyciek. Tymczasem dane były już na zewnątrz. Kopiowanie trwało od stycznia do lutego 2026 r., a ich upublicznienie nastąpiło dopiero dwa miesiące później. To charakterystyczna taktyka grup hakerskich – zbierają dane cierpliwie, a publikują je jako narzędzie nacisku lub sprzedają na czarnym rynku z opóźnieniem. Według społeczności PAYLOAD za atakiem stoi grupa Interlock, specjalizująca się w atakach ransomware na instytucje edukacyjne i publiczne. Dane są dostępne do pobrania z serwera Tor tej grupy.

Co konkretnie wyciekło – pełna lista kategorii

UW przyznaje, że na obecnym etapie analiz nie może wykluczyć żadnej grupy osób z kręgu ryzyka. Wśród kategorii danych, które mogły trafić do darknetu, uczelnia wymienia: dane identyfikacyjne (imię, nazwisko, data urodzenia, płeć, obywatelstwo), dane szczególnego rodzaju (numery PESEL, serie i numery dokumentów tożsamości, numery paszportów), dane kontaktowe (adresy zamieszkania, adresy e-mail, numery telefonów), dane finansowe i podatkowe (numery kont bankowych, dane z PIT), dane dotyczące zatrudnienia (umowy o pracę, przebieg kariery), informacje o stanie zdrowia ze zwolnień lekarskich, dane o ubezpieczeniach społecznych, treść prywatnej korespondencji elektronicznej oraz wizerunek.

Zdecydowana większość plików z danymi osobowymi pochodzi z serwerów Wydziału Neofilologii i Wydziału Stosowanych Nauk Społecznych i Resocjalizacji (WSNSiR). Analiza cyberdefence24.pl potwierdziła obecność w wycieku wykazów kandydatów na studia z lat 2020-2026, list osób przyjętych i rezerwowych. Łącznie zidentyfikowano dane ponad 4 500 osób z WSNSiR i ponad 1 300 osób z Wydziału Neofilologii. W wycieku znaleźli się nie tylko studenci, którzy zostali przyjęci, lecz także kandydaci z list rezerwowych i osoby odrzucone – te osoby często nie wiedzą, że ich dane w ogóle trafiły na uczelniane serwery.

Co zrobić natychmiast – lista kroków w kolejności pilności

UW apeluje do całej swojej społeczności o niezwłoczne działanie. Pierwszym krokiem jest zastrzeżenie numeru PESEL w aplikacji mObywatel lub na stronie obywatel.gov.pl – usługa jest bezpłatna i blokuje możliwość zaciągnięcia kredytu lub pożyczki na skradzioną tożsamość. Drugim krokiem jest zmiana haseł do wszystkich ważnych serwisów: bankowości internetowej, poczty e-mail, kont uczelnianych i mediów społecznościowych. Każde konto powinno mieć inne, unikalne hasło – menedżer haseł to dobre rozwiązanie. Trzecim krokiem jest włączenie alertów BIK (Biuro Informacji Kredytowej) – usługa powiadamia SMS-em lub e-mailem o każdym zapytaniu o historię kredytową i o każdym nowym kredycie zarejestrowanym na Twoje dane. Kosztuje kilkanaście złotych miesięcznie i pozwala błyskawicznie wykryć próbę wyłudzenia kredytu.

Warto też sprawdzić stronę bezpiecznedane.gov.pl, gdzie można sprawdzić, czy dane z konkretnego wycieku zostały zindeksowane. UW zapewnia, że będzie publikował kolejne komunikaty na swojej stronie w miarę postępu analiz. Osoby, które zauważą podejrzane działania – próby wyłudzenia pożyczki, nieznane transakcje, dziwne wiadomości rzekomo od instytucji – powinny natychmiast kontaktować się z CERT Polska (cert.pl) i właściwymi organami ścigania.

UW nie jest pierwszą uczelnia, ostatnią też nie będzie

Atak na Uniwersytet Warszawski wpisuje się w globalny trend wymierzony w instytucje edukacyjne. Uczelnie gromadzą ogromne ilości danych osobowych przez dekady – dane studentów, kandydatów, pracowników, współpracowników – i często nie dysponują budżetem na cyberbezpieczeństwo porównywalnym z sektorem bankowym czy korporacyjnym. Dla grup hakerskich to atrakcyjny cel: dużo danych, relatywnie słabsza ochrona. Mechanizm ataku przez przejęte dane logowania jest szczególnie trudny do wykrycia, bo nie wyzwala klasycznych alarmów dotyczących nieautoryzowanego dostępu. Rozwiązaniem jest powszechne wdrożenie uwierzytelniania dwuskładnikowego (2FA) – dodatkowego kodu SMS lub aplikacji generującej hasła jednorazowe. Przy 2FA samo hasło nie wystarczy do zalogowania. UW zapowiedział wzmocnienie zabezpieczeń, ale szczegółów jeszcze nie podał.

Co to oznacza dla Ciebie? Zastrzeż PESEL dziś, nie za tydzień

Jeśli kiedykolwiek byłeś lub byłaś studentem, doktorantem, kandydatem na studia, pracownikiem lub współpracownikiem Uniwersytetu Warszawskiego – traktuj swoje dane osobowe jako potencjalnie skompromitowane. Nie czekaj na indywidualne zawiadomienie od uczelni – proces analizy potrwa tygodnie, a złodzieje tożsamości działają natychmiast po pojawieniu się danych w sieci. Zastrzeżenie PESEL zajmuje minutę w mObywatelu i jest bezpłatne. Alert BIK kosztuje kilkanaście złotych miesięcznie i może oszczędzić miesięcy zmagań z bankiem po wyłudzonym kredycie. Sprawa jest zgłoszona do CERT Polska, Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) i Prezesa Urzędu Ochrony Danych Osobowych (UODO) – ale śledztwo w takich sprawach zajmuje miesiące, a Twoje zabezpieczenie zależy od Ciebie.