Wyciek danych ze żłobków w Łodzi. Do sieci trafiły numery PESEL dzieci i rodziców

Na jednej ze stron powiązanych z Politechniką Łódzką znajdował się indeks zawierający ponad 4900 plików PDF. Większość z nich to kopie umów zawieranych między rodzicami a kierownikami miejskich żłobków w Łodzi. Każdy mógł te pliki pobrać – nie trzeba było żadnego hasła ani logowania.

W dokumentach znajdowały się wrażliwe dane rodziców i opiekunów:

• nazwiska,
• numery PESEL,
• adresy zamieszkania,
• numery telefonów.

Pliki były dodawane w latach 2024-2025, a więc dotyczą stosunkowo świeżych umów.

Numery PESEL dzieci widoczne już w nazwach plików

Co szczególnie niepokojące, numery PESEL dzieci były zawarte wprost w nazwach plików – wystarczyło spojrzeć na listę dokumentów, by je poznać. Aplikacja miała też inne niezabezpieczone miejsca, przez które wyciekały dodatkowe informacje, np. dotyczące wyżywienia dzieci. Tam z kolei pojawiały się imiona, nazwiska i adresy maluchów.

Na podstawie połączenia tych danych można było wywnioskować wiele – np. czy rodzice mieszkają razem, u którego z nich przebywa dziecko, a nawet czy dieta wskazuje na jakąś chorobę.

Aplikacja powstała we współpracy z Politechniką Łódzką

Za miejskie żłobki w Łodzi odpowiada Miejski Zespół Żłobków (MZŻ). W ramach modernizacji placówek wdrożono aplikację do zarządzania żłobkami, opracowywaną wspólnie z Politechniką Łódzką.

Jak wynika z nieoficjalnych informacji, aplikacja była rozwijana „w nieco ryzykowny sposób", a jej bezpieczeństwo opierało się w dużej mierze na tym, że niewiele osób wiedziało, gdzie szukać danych. Problem w tym, że ta wiedza nie była wcale tak tajna.

Telefon do inspektora ochrony danych? „Numer nie istnieje"

Próba zgłoszenia wycieku 31 grudnia okazała się drogą przez mękę. Numer telefonu do Inspektora Ochrony Danych podany na stronie MZŻ... nie istniał. Po przejściu przez sekretariat udało się w końcu uzyskać właściwy kontakt, ale okazało się, że „pani kierownik wyszła".

Z kolei rzeczniczka Politechniki Łódzkiej poinformowała, że uczelnia aktualnie nie pracuje i poprosiła o e-maila – obiecując, że zajmie się sprawą po powrocie do pracy... 7 stycznia.

wychowanie

Twoje dziecko nie chce się bawić z rodzeństwem lub kuzynostwem? To najgorsze, co możesz powiedzieć

Dane zabezpieczono, ale pytania pozostają

Po serii telefonów i maili indeks plików w końcu zniknął z sieci – choć same umowy jeszcze przez jakiś czas były dostępne do pobrania. Dziś można powiedzieć, że sytuacja została opanowana.

Miejski Zespół Żłobków potwierdził, że powiadomi rodziców o incydencie i zgłosi sprawę do Urzędu Ochrony Danych Osobowych (UODO).

Co mogą zrobić rodzice?

Jeśli twoje dziecko uczęszcza do miejskiego żłobka w Łodzi i zawierałaś umowę w latach 2024-2025, twoje dane mogły zostać ujawnione. Warto:

• monitorować, czy nie pojawiają się podejrzane próby wykorzystania twoich danych lub danych dziecka,
• rozważyć zastrzeżenie numeru PESEL – od niedawna można to zrobić bezpłatnie przez aplikację mObywatel,
• czekać na oficjalne powiadomienie od MZŻ z informacją o zakresie wycieku.

Sprawa trafi do UODO, więc można spodziewać się dalszych wyjaśnień. Jedno jest pewne – dane tysięcy łódzkich rodzin przez pewien czas były na wyciągnięcie ręki dla każdego, kto wiedział, gdzie szukać.