Dane dzieci i rodziców z kilku żłobków były dostępne publicznie

2 dni temu 6

Pliki umów zawartych pomiędzy rodzicami a żłobkami w Łodzi były dostępne publicznie i możliwe do pobrania przez każdego. Powód? Błąd w aplikacji, która miała ułatwiać organizowanie pracy w żłobkach.

Co się wydarzyło?

Jak poinformowała nas pewna zaniepokojona osoba, na jednej stronie powiązanej z Politechniką Łódzką dostępny był taki oto indeks plików:

Indeks obejmował ponad 4900 plików PDF zatytułowanych jako “umowa” (większość plików) lub “aneks” (niektóre). Znajdowało się tam także kilkadziesiąt plików ZIP, ale tych nie dało się pobrać. Każdy z plików PDF był kopią umowy zawartej pomiędzy rodzicami a kierownikiem jednego z miejskich żłobków w Łodzi. W umowach znajdowały się następujące dane rodziców lub opiekunów dziecka w tym:

  • nazwiska,
  • numery PESEL,
  • adresy zamieszkania,
  • numery telefonów.

Niektóre pliki zawierały puste pola, ale nie analizowaliśmy pełnego zestawu tych danych i nie wiemy jaki odsetek mogły stanowić pliki bez danych lub z cząstkowymi danymi. Pliki z umowami były dodawane w latach 2024-2025.

Numery PESEL dzieci też wyciekły

Wyciekły również numery PESEL dzieci ponieważ były one zawarte w nazwach plików. Aplikacja miała też inne niezabezpieczone endpointy, które dawały dostęp do innych danych np. na temat wyżywienia. Trafiały się w nich imiona i nazwiska dzieci oraz – w niektórych przypadkach – adresy zamieszkania dzieci.

Na podstawie wszystkiego co wyciekło dałoby się wywnioskować różne dodatkowe informacje np. czy rodzice mieszkają razem albo u którego z rodziców mieszka dziecko, albo czy dieta wskazuje na jakąś chorobę. Nie dokonywaliśmy takich analiz, ale potencjał tego co ujrzeliśmy był dla nas dość oczywisty.

Co robiły dane rodziców na serwerze Politechni Łódzkiej?

Za miejskie żłobki w Łodzi odpowiada Miejski Zespół Żłobków (MZŻ). Sieć żłobków oraz ich usługi są stale rozbudowywane (i bardzo dobrze), ale elementem modernizacji było wprowadzenie aplikacji do zarządzania żłobkami, która miała być opracowana wspólnie z Politechniką Łódzką. Informacje o tej aplikacji pojawiały się w lokalnych mediach. Od pewnego źródła zbliżonego do sprawy dowiedzieliśmy się, że aplikacja jest rozwijana… “w nieco ryzykowny sposób”, a jej bezpieczeństwo opiera się m.in. na tym, że niewiele osób wie, gdzie danych z tej aplikacji szukać. Rzecz jednak w tym, że o tej aplikacji wiedziała niejedna osoba.

Telefon do IOD? Numer nie istnieje!

31 grudnia zwróciliśmy się do MZŻ ze zgłoszeniem wycieku i próbowaliśmy doprowadzić do zabezpieczenia plików. To było najważniejsze. Na stronie MZŻ dostępna jest informacja o ochronie danych osobowych z danymi kontaktowymi do Inspektora Ochrony Danych Osobowych. Zadzwoniliśmy i usłyszeliśmy w słuchawce, że “numer (…) nie istnieje“. Zadzwoniliśmy więc na numer sekretariatu podany na stronie instytucji. Miła osoba podała nam numer do Inspektora Ochrony Danych i znów zadzwoniliśmy, ale dowiedzieliśmy się tylko tyle, że “Pani kierownik wyszła“.

Czekając na przyjście pani kierownik postanowiliśmy skontaktować się z Politechniką Łódzką. Zadzwoniliśmy do rzeczniczki prasowej i powiedzieliśmy jej, że na domenie uczelni są dane rodziców. Rzeczniczka prasowa uczelni Ewa Chojnacka powiedziała, że… aktualnie uczelnia nie pracuje. Poprosiła o e-maila obiecując, że zajmie się sprawą gdy tylko wróci do pracy… 7 stycznia.

Próbowaliśmy jeszcze zadzwonić do działu promocji uczelni, a także do jednej z osób powiązanych z laboratorium PŁ, do którego należała domena. Nigdzie nie udało się dodzwonić, więc wysłaliśmy e-maile do osób związanych z tym laboratorium licząc na to, że ktokolwiek je odczyta.

Ponowiliśmy też próbę kontaktu z MZŻ i tym razem udało nam się porozmawiać z Inspektorką Ochrony Danych. Zaraz po tej rozmowie indeks plików stał się niedostępny i nie potrafimy ocenić, czy był to efekt rozmowy z IOD czy może ktoś z PŁ odebrał wcześniej wysłanego maila. W każdym razie, choć indeks plików zniknął z sieci, to pliki poszczególnych umów wciąż były dostępne i możliwe do pobrania. Nadal też widzieliśmy udostępnianie części danych na innych endpointach.

Od tamtego dnia, stopniowo zmiany i zabezpieczenia były wprowadzane. Dziś można powiedzieć: jest już posprzątane.

MZŻ powiadomi rodziców

Wysyłając pytania do zaangażowanych w sprawę instytucji chcieliśmy wiedzieć przede wszystkim na jakiej zasadzie odbywała się współpraca pomiędzy MZZ i PŁ oraz czy była ona właściwie zorganizowana (np. czy zapewniono takie formy umów, które wymagały dbałości o bezpieczeństwo). Pytaliśmy również o to czy wyciek został zgłoszony, czy rodzice będą o nim powiadomieni oraz czy przeprowadzono analizy dotyczące ewentualnego masowego pobierania danych. 8 stycznia otrzymaliśmy odpowiedź od Miejskiego Zespołu Żłobków, niestety w formie skanu (takiego ładnego, z pieczątkami).

Niestety, odpowiedź nie adresuje wszystkich naszych pytań, np. czy aplikacja była wcześniej testowana pod kątem bezpieczeństwa, albo czy osoby ją rozwijające zostały upoważnione do przetwarzania danych. Jednak mając na uwadze, iż problem zostanie zgłoszony do UODO, wierzymy że będzie to przedmiotem analizy prędzej czy później. Być może jakichś odpowiedzi w tym zakresie udzieli nam jeszcze Politechnika Łódzka, która również otrzymała od nas pytania. W razie otrzymania kolejnych wyjaśnień będziemy aktualizować ten tekst.

Mam dziecko w łódzkim żłobku — co robić, jak żyć?

O tym, czy akurat Ty (jako rodzic) i Twoje dziecko znajdują się w tym wycieku — jeśli dobrze rozumiemy deklaracje MZŻ — powinieneś niebawem dowiedzieć się od MZŻ. Nie mamy informacji na temat tego, ile osób pobrało te dane, ale na wszelki wypadek rekomendujemy:

    • Uważaj na wszelkie wiadomości dotyczące dzieci oraz usług żłobka (zwłaszcza te dotyczące rzekomych opłat, dopłat, itp.). Dokładniej sprawdzaj ich pochodzenie. Oszuści mogą np. podszyć się pod żłobek i wyłudzić w ten sposób pieniądze.

Zastrzeż PESELe. To zawsze warto zrobić, niezależnie od tego wycieku. Ryzyko podszycia się pod Ciebie oceniamy na niskie, jeśli nigdzie w kontakcie ze żłobkiem nie przekazywałeś skanów swoich dokumentów.

Takich wycieków zapewne będzie więcej. Praktycznie każda firma i instytucja przetwarza dokumenty w formie elektronicznej, niestety nie zawsze w sposób bezpieczny. Dobrą praktyką może być minimalizowanie przekazywanych firmom i instytucjom danych. Ale to co podać, a czego nie, to już decyzja, którą każdy z Was musi podjąć samodzielnie. W przypadku żłobków i szkół sprawdzona i szybka forma kontaktu z rodzicami w przypadku jakiegoś incydentu może być kluczowa, więc podawanie bzdurnych danych niekoniecznie będzie najlepszym pomysłem.

Aha, jeśli Waszym hasłem do e-maila albo facebooka jest imie Waszego dziecka albo data jego urodzenia, to dobrym pomysłem będzie to zmienić. Aby sprawdzić czy Wasze dane już wyciekły (a jeśli tak, to gdzie i co z tym zrobić) polecamy nasz krótki webinar o radzeniu sobie (i przygotowywaniu się na) wycieki danych — z kodem ZLOBEK do końca dnia możecie go kupić o połowę taniej — spokojnie, na jego obejrzenie macie 30 dni, więc na pewno zdążycie. Tu link wprost do koszyka.

A jeśli chcielibyście się, jako rodzice, przygotować na to jak poprawnie chronić trochę starsze dzieci przed złem w internecie (np. skutecznie blokować dostęp do niepożądanych treści i aplikacji oraz ograniczać czas spędzany przed ekranami), to rzućcie okiem na nasz webinar “Cyberbezpieczeństwo dla Rodziców“. Tutaj link wprost do koszyka.

Aktualizacja 9.01.2026 15:58

Jeden z rodziców, którego dziecko uczęszcza do żłobka w Łodzi, powiadomił naszą redakcję o otrzymaniu pisma z powiadomieniem o wycieku. Treść pisma jest następująca:

Szanowni Państwo,

w związku z zawartym porozumieniem współpracy między Miejskim Zespołem żłobków w Łodzi ul. Zachodnia 55a, 91-063 Łódź a Instytutem Mechatroniki i Systemów Informatycznych Politechniki Łódzkiej ul. B. Stefanowskiego 22, 90-537 Łódź, w zakresie wspólnego działania na rzecz opracowania aplikacji webowej do zarządzania oraz ewidencjonowania płatności związanych z funkcjonowaniem placówek żłobkowych, z przykrością informujemy, że doszło do naruszenia ochrony danych osobowych, polegające na nieuprawnionym dostępie do Państwa danych zawartych w umowach o świadczenie usług w zakresie opieki nad Państwa dzieckiem. Informację o tym, że Państwa dane są publicznie dostępne otrzymaliśmy w dniu 05.01.2026 r od redaktora portalu Niebezpiecznik.pl, który zajmuje się m.in. tematyką cyberbezpieczeństwa – przede wszystkim edukacją, analizami zagrożeń oraz praktycznym podnoszeniem świadomości bezpieczeństwa w internecie i IT.

Incydent miał miejsce w wyniku błędnej konfiguracji serwera obsługującego aplikację sieciową działającą w infrastrukturze Politechniki Łódzkiej i dotyczył nieuprawnionego dostępu do dokumentów w formie PDF, zawierających dane osobowe rodziców/opiekunów oraz dzieci korzystających z usług Miejskiego Zespołu Żłobków w Łodzi i był następstwem błędu konfiguracyjnego powstałego w trakcie prac administracyjnych wykonywanych na serwerze.

Zakres ujawnionych danych:

  • Imiona i nazwiska rodziców/opiekunów oraz dzieci.
  • Numery PESEL.
  • Adresy zamieszkania.
  • Numery rachunków bankowych rodziców/opiekunów.
  • Numery telefonów rodziców/opiekunów.
  • Informacje dotyczące zawartych umów na świadczenie usług opieki w żłobkach.

Niezwłocznie po stwierdzeniu zdarzenia Miejski Zespół Żłobków w Łodzi podjął wszelkie wymagane działania mające na celu zabezpieczenie danych osobowych, w tym:

  • Ograniczenie dostępu do danych.
  • Zabezpieczenie systemów oraz widniejącej tam dokumentacji.
  • Analizę przyczyn naruszenia oraz wdrożenie środków zapobiegających podobnym zdarzeniom w przyszłości.

Charakter ujawnionych danych może potencjalnie stwarzać ryzyko naruszenia praw i wolności osób, których dane dotyczą, w szczególności ryzyko kradzieży tożsamości lub nadużyć finansowych. Aktualnie nie odnotowaliśmy żadnych informacji o negatywnych skutkach związanych z tym incydentem, a prawdopodobieństwo ich wystąpienia oceniamy jako średnie.

Powstałe zdarzenie zostało przeanalizowane zgodnie z obowiązującymi przepisami i zgodnie z art 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w dniu 07.01.2026 r. zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.

Zalecamy zachowanie ostrożności w szczególności należy:

  • Ignorować nieoczekiwane lub podejrzane wiadomości e-mail, w szczególności od nieznanych nadawców lub pochodzących z adresów mailowych usiłujących podszywać się pod powszechnie znane instytucje (np. banki lub organy państwowe) oraz nie otwierać podejrzanych załączników (np. przesłanych pocztą elektroniczną plików w nieznanym lub niepopularnym formacie).
  • Dokładnie analizować wszelkie komunikaty przekazywane drogą elektroniczną.
  • Nie korzystać z linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach mailowych, SMS-ach lub poprzez komunikatory internetowe.
  • Zachować ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów oraz podczas korzystania z bankowości elektronicznej lub płatności internetowych.
  • Dokładnie analizować wszelkie otrzymane rachunki lub wezwania do zapłaty pod kątem możliwości podszywania się pod instytucje, z którymi zostały wcześniej zawarte umowy.

Przepraszamy za zaistniałą sytuację i zapewniamy, że ochrona danych osobowych dzieci i ich rodziców/opiekunów jest dla nas sprawą najwyższej wagi.
Administratorem danych osobowych jest Miejski Zespół Żłobków w Łodzi ul. Zachodnia 55a, 91-063 Łódź. W sprawach związanych z przetwarzaniem danych osobowych mogą się Państwo kontaktować z Inspektorem Ochrony Danych: Aleksandra Turczyńska, iod@mzz.lodz.pl, tel. 452 435 622

Z wyrazami szacunku
p.o. DYREKTORA
mgr Krystian Wolnicki

Przeczytaj źródło
  1. Indeks
  2. Komputer
  3. Dane dzieci i rodziców z kilku żłobków były dostępne publicznie
CYBREX.PL

Trending

Popularne

Wyrok TK. Właściciele działek muszą odśnieżać chodniki. Nawet wiek, choroba, niepełnosprawność nie zwalnia

Wyrok TK. Właściciele działek muszą odśnieżać chodniki. Nawe...

18 godziny temu 136
ZUS przyznaje 1409,18 zł bez względu na wiek. Mało kto wie o tym świadczeniu i mało kto z niego korzysta

ZUS przyznaje 1409,18 zł bez względu na wiek. Mało kto wie o...

11 godziny temu 37
Eliza Macudzińska na rajskich wakacjach z ukochanym. 17-latka podzieliła się romantycznymi kadrami

Eliza Macudzińska na rajskich wakacjach z ukochanym. 17-latk...

21 godziny temu 29
Kolejny eksperyment giganta. Doprowadzili kibiców do białej gorączki

Kolejny eksperyment giganta. Doprowadzili kibiców do białej ...

22 godziny temu 17
Buty Małgorzaty Rozenek "après-ski" to hit prosto ze szwajcarskich kurortów. Idealne na największe mrozy

Buty Małgorzaty Rozenek "après-ski" to hit prosto ze szwajca...

18 godziny temu 15

AZOX.PL
ENGLISH GOOGLE English (US) English (US) · Polish (PL) Polish (PL) ·
Informacje · Ciasteczka · Kontakt · Regulamin · Linki · Reklama · Disclaimer ·

© yxz 2026. Wszystkie prawa zastrzeżone.