Błąd polegał na tym, że ktoś nie ukrył odbiorcy maila wysłanego do wszystkich studentów uczelni (w takich sytuacjach zawsze umieszcza się go w polu UDW, „ukryte do wiadomości”). A że odbiorcą był alias do wysyłki masowej, de facto umożliwiono zaspamowanie każdego studenta tej uczelni. Internauci nie zmarnowali okazji…
Wśród maili, które trafiają do wszystkich studentów SWPS – a więc kilkunastu tysięcy osób – znajdują się powiadomienia o zarejestrowaniu ich do serwisów pornograficznych, takich jak RedTube, do PizzaPortalu i dziesiątek innych. Żartownisie wysyłają też maile, które udają oficjalne skreślenie z listy studentów. Uczelnia wystosowała do studentów wiadomość, wyjaśniającą całe zajście. O wszystkim doniósł niebezpiecznik.pl.
„Szanowni Państwo, pilnie informujemy, że w wyniku celowego działania jednego ze studentów Uniwersytetu SWPS, grupa dyskusyjna [email protected] została zarejestrowana na kilku portalach. W rezultacie członkowie grupy otrzymali wiadomości powszechnie uznawane za spam. Grupa [email protected] została zablokowana, a incydent jest skierowany do organów ścigania w celu zidentyfikowania sprawcy. Zapewniamy, że żadne imienne adresy pojedynczych studentów nie zostały udostępnione na zewnątrz uczelni ani zarejestrowane na te adresy konta w zewnętrznych serwisach – nie doszło do ich wycieku. Mailing skierowany był wyłącznie na adres [email protected] a dystrybucja wiadomości odbywa się niejawnie po stronie Google Suite for Education.
Podkreślamy, że zaistniały problem dotyczył wyłącznie zbiorczego adresu a nie indywidualnych adresów w domenie st.swps.edu.pl. Ustalenie przyczyn zaistniałej sytuacji jest tylko kwestią czasu. Wśród wszystkich grup dyskusyjnych skonfigurowanych w Uniwersytecie SWPS grupa [email protected] jako jedyna posiadała możliwość wymiany informacji pomiędzy użytkownikami z grupy. We wszystkich pozostałych grupach jedynie wskazany właściciel jest uprawniony do wysyłki i jest to domyślny schemat uprawnień. Wszystkie operacje są logowane po stronie Google Suite, a dostawcy usługi bardzo sprawnie współpracują przy ustalaniu przyczyn tego rodzaju incydentów. Przepraszamy za zaistniałą sytuację i niepokój, który wzbudziła. Na wszelkie Państwa pytania chętnie udzieli odpowiedzi Dział IT ([email protected]). Z wyrazami szacunku, Dział IT”
Lekcja płynąca z tego doświadczenia na przyszłość jest prosta: przy wysyłaniu maili do większej grupy docelowej – zwłaszcza osób, które się nie znają – zawsze ukrywajcie odbiorców w polu „UDW”. Bo może to się skończyć tak, jak w przypadku SWPS.
red. aip, Fot. Archiwum