Dane dzieci i rodziców z kilku żłobków były dostępne publicznie

Pliki umów zawartych pomiędzy rodzicami a żłobkami w Łodzi były dostępne publicznie i możliwe do pobrania przez każdego. Powód? Błąd w aplikacji, która miała…

Niebezpiecznik

Pliki umów zawartych pomiędzy rodzicami a żłobkami w Łodzi były dostępne publicznie i możliwe do pobrania przez każdego. Powód? Błąd w aplikacji, która miała ułatwiać organizowanie pracy w żłobkach.

Co się wydarzyło?

Jak poinformowała nas pewna zaniepokojona osoba, na jednej stronie powiązanej z Politechniką Łódzką dostępny był taki oto indeks plików:

Indeks obejmował ponad 4900 plików PDF zatytułowanych jako “umowa” (większość plików) lub “aneks” (niektóre). Znajdowało się tam także kilkadziesiąt plików ZIP, ale tych nie dało się pobrać. Każdy z plików PDF był kopią umowy zawartej pomiędzy rodzicami a kierownikiem jednego z miejskich żłobków w Łodzi. W umowach znajdowały się następujące dane rodziców lub opiekunów dziecka w tym:

  • nazwiska,
  • numery PESEL,
  • adresy zamieszkania,
  • numery telefonów.

Niektóre pliki zawierały puste pola, ale nie analizowaliśmy pełnego zestawu tych danych i nie wiemy jaki odsetek mogły stanowić pliki bez danych lub z cząstkowymi danymi. Pliki z umowami były dodawane w latach 2024-2025.

 

Numery PESEL dzieci też wyciekły

Wyciekły również numery PESEL dzieci ponieważ były one zawarte w nazwach plików. Aplikacja miała też inne niezabezpieczone endpointy, które dawały dostęp do innych danych np. na temat wyżywienia. Trafiały się w nich imiona i nazwiska dzieci oraz – w niektórych przypadkach – adresy zamieszkania dzieci.

Na podstawie wszystkiego co wyciekło dałoby się wywnioskować różne dodatkowe informacje np. czy rodzice mieszkają razem albo u którego z rodziców mieszka dziecko, albo czy dieta wskazuje na jakąś chorobę. Nie dokonywaliśmy takich analiz, ale potencjał tego co ujrzeliśmy był dla nas dość oczywisty.

Co robiły dane rodziców na serwerze Politechni Łódzkiej?

Za miejskie żłobki w Łodzi odpowiada Miejski Zespół Żłobków (MZŻ). Sieć żłobków oraz ich usługi są stale rozbudowywane (i bardzo dobrze), ale elementem modernizacji było wprowadzenie aplikacji do zarządzania żłobkami, która miała być opracowana wspólnie z Politechniką Łódzką. Informacje o tej aplikacji pojawiały się w lokalnych mediach. Od pewnego źródła zbliżonego do sprawy dowiedzieliśmy się, że aplikacja jest rozwijana… “w nieco ryzykowny sposób”, a jej bezpieczeństwo opiera się m.in. na tym, że niewiele osób wie, gdzie danych z tej aplikacji szukać. Rzecz jednak w tym, że o tej aplikacji wiedziała niejedna osoba.

Telefon do IOD? Numer nie istnieje!

31 grudnia zwróciliśmy się do MZŻ ze zgłoszeniem wycieku i próbowaliśmy doprowadzić do zabezpieczenia plików. To było najważniejsze. Na stronie MZŻ dostępna jest informacja o ochronie danych osobowych z danymi kontaktowymi do Inspektora Ochrony Danych Osobowych. Zadzwoniliśmy i usłyszeliśmy w słuchawce, że “numer (…) nie istnieje“. Zadzwoniliśmy więc na numer sekretariatu podany na stronie instytucji. Miła osoba podała nam numer do Inspektora Ochrony Danych i znów zadzwoniliśmy, ale dowiedzieliśmy się tylko tyle, że “Pani kierownik wyszła“.

Czekając na przyjście pani kierownik postanowiliśmy skontaktować się z Politechniką Łódzką. Zadzwoniliśmy do rzeczniczki prasowej i powiedzieliśmy jej, że na domenie uczelni są dane rodziców. Rzeczniczka prasowa uczelni Ewa Chojnacka powiedziała, że… aktualnie uczelnia nie pracuje. Poprosiła o e-maila obiecując, że zajmie się sprawą gdy tylko wróci do pracy… 7 stycznia.

Próbowaliśmy jeszcze zadzwonić do działu promocji uczelni, a także do jednej z osób powiązanych z laboratorium PŁ, do którego należała domena. Nigdzie nie udało się dodzwonić, więc wysłaliśmy e-maile do osób związanych z tym laboratorium licząc na to, że ktokolwiek je odczyta.

Ponowiliśmy też próbę kontaktu z MZŻ i tym razem udało nam się porozmawiać z Inspektorką Ochrony Danych. Zaraz po tej rozmowie indeks plików stał się niedostępny i nie potrafimy ocenić, czy był to efekt rozmowy z IOD czy może ktoś z PŁ odebrał wcześniej wysłanego maila. W każdym razie, choć indeks plików zniknął z sieci, to pliki poszczególnych umów wciąż były dostępne i możliwe do pobrania. Nadal też widzieliśmy udostępnianie części danych na innych endpointach.

Od tamtego dnia, stopniowo zmiany i zabezpieczenia były wprowadzane. Dziś można powiedzieć: jest już posprzątane.

MZŻ powiadomi rodziców

Wysyłając pytania do zaangażowanych w sprawę instytucji chcieliśmy wiedzieć przede wszystkim na jakiej zasadzie odbywała się współpraca pomiędzy MZZ i PŁ oraz czy była ona właściwie zorganizowana (np. czy zapewniono takie formy umów, które wymagały dbałości o bezpieczeństwo). Pytaliśmy również o to czy wyciek został zgłoszony, czy rodzice będą o nim powiadomieni oraz czy przeprowadzono analizy dotyczące ewentualnego masowego pobierania danych. 8 stycznia otrzymaliśmy odpowiedź od Miejskiego Zespołu Żłobków, niestety w formie skanu (takiego ładnego, z pieczątkami).

Niestety, odpowiedź nie adresuje wszystkich naszych pytań, np. czy aplikacja była wcześniej testowana pod kątem bezpieczeństwa, albo czy osoby ją rozwijające zostały upoważnione do przetwarzania danych. Jednak mając na uwadze, iż problem zostanie zgłoszony do UODO, wierzymy że będzie to przedmiotem analizy prędzej czy później. Być może jakichś odpowiedzi w tym zakresie udzieli nam jeszcze Politechnika Łódzka, która również otrzymała od nas pytania. W razie otrzymania kolejnych wyjaśnień będziemy aktualizować ten tekst.

Mam dziecko w łódzkim żłobku — co robić, jak żyć?

O tym, czy akurat Ty (jako rodzic) i Twoje dziecko znajdują się w tym wycieku — jeśli dobrze rozumiemy deklaracje MZŻ — powinieneś niebawem dowiedzieć się od MZŻ. Nie mamy informacji na temat tego, ile osób pobrało te dane, ale na wszelki wypadek rekomendujemy:

    • Uważaj na wszelkie wiadomości dotyczące dzieci oraz usług żłobka (zwłaszcza te dotyczące rzekomych opłat, dopłat, itp.). Dokładniej sprawdzaj ich pochodzenie. Oszuści mogą np. podszyć się pod żłobek i wyłudzić w ten sposób pieniądze.

Zastrzeż PESELe. To zawsze warto zrobić, niezależnie od tego wycieku. Ryzyko podszycia się pod Ciebie oceniamy na niskie, jeśli nigdzie w kontakcie ze żłobkiem nie przekazywałeś skanów swoich dokumentów.

Takich wycieków zapewne będzie więcej. Praktycznie każda firma i instytucja przetwarza dokumenty w formie elektronicznej, niestety nie zawsze w sposób bezpieczny. Dobrą praktyką może być minimalizowanie przekazywanych firmom i instytucjom danych. Ale to co podać, a czego nie, to już decyzja, którą każdy z Was musi podjąć samodzielnie. W przypadku żłobków i szkół sprawdzona i szybka forma kontaktu z rodzicami w przypadku jakiegoś incydentu może być kluczowa, więc podawanie bzdurnych danych niekoniecznie będzie najlepszym pomysłem.

Aha, jeśli Waszym hasłem do e-maila albo facebooka jest imie Waszego dziecka albo data jego urodzenia, to dobrym pomysłem będzie to zmienić. Aby sprawdzić czy Wasze dane już wyciekły (a jeśli tak, to gdzie i co z tym zrobić) polecamy nasz krótki webinar o radzeniu sobie (i przygotowywaniu się na) wycieki danych — z kodem ZLOBEK do końca dnia możecie go kupić o połowę taniej — spokojnie, na jego obejrzenie macie 30 dni, więc na pewno zdążycie. Tu link wprost do koszyka.

A jeśli chcielibyście się, jako rodzice, przygotować na to jak poprawnie chronić trochę starsze dzieci przed złem w internecie (np. skutecznie blokować dostęp do niepożądanych treści i aplikacji oraz ograniczać czas spędzany przed ekranami), to rzućcie okiem na nasz webinar “Cyberbezpieczeństwo dla Rodziców“. Tutaj link wprost do koszyka.

Aktualizacja 9.01.2026 15:58

Jeden z rodziców, którego dziecko uczęszcza do żłobka w Łodzi, powiadomił naszą redakcję o otrzymaniu pisma z powiadomieniem o wycieku. Treść pisma jest następująca:

Szanowni Państwo,

w związku z zawartym porozumieniem współpracy między Miejskim Zespołem żłobków w Łodzi ul. Zachodnia 55a, 91-063 Łódź a Instytutem Mechatroniki i Systemów Informatycznych Politechniki Łódzkiej ul. B. Stefanowskiego 22, 90-537 Łódź, w zakresie wspólnego działania na rzecz opracowania aplikacji webowej do zarządzania oraz ewidencjonowania płatności związanych z funkcjonowaniem placówek żłobkowych, z przykrością informujemy, że doszło do naruszenia ochrony danych osobowych, polegające na nieuprawnionym dostępie do Państwa danych zawartych w umowach o świadczenie usług w zakresie opieki nad Państwa dzieckiem. Informację o tym, że Państwa dane są publicznie dostępne otrzymaliśmy w dniu 05.01.2026 r od redaktora portalu Niebezpiecznik.pl, który zajmuje się m.in. tematyką cyberbezpieczeństwa – przede wszystkim edukacją, analizami zagrożeń oraz praktycznym podnoszeniem świadomości bezpieczeństwa w internecie i IT.

Incydent miał miejsce w wyniku błędnej konfiguracji serwera obsługującego aplikację sieciową działającą w infrastrukturze Politechniki Łódzkiej i dotyczył nieuprawnionego dostępu do dokumentów w formie PDF, zawierających dane osobowe rodziców/opiekunów oraz dzieci korzystających z usług Miejskiego Zespołu Żłobków w Łodzi i był następstwem błędu konfiguracyjnego powstałego w trakcie prac administracyjnych wykonywanych na serwerze.

Zakres ujawnionych danych:

  • Imiona i nazwiska rodziców/opiekunów oraz dzieci.
  • Numery PESEL.
  • Adresy zamieszkania.
  • Numery rachunków bankowych rodziców/opiekunów.
  • Numery telefonów rodziców/opiekunów.
  • Informacje dotyczące zawartych umów na świadczenie usług opieki w żłobkach.

Niezwłocznie po stwierdzeniu zdarzenia Miejski Zespół Żłobków w Łodzi podjął wszelkie wymagane działania mające na celu zabezpieczenie danych osobowych, w tym:

  • Ograniczenie dostępu do danych.
  • Zabezpieczenie systemów oraz widniejącej tam dokumentacji.
  • Analizę przyczyn naruszenia oraz wdrożenie środków zapobiegających podobnym zdarzeniom w przyszłości.

Charakter ujawnionych danych może potencjalnie stwarzać ryzyko naruszenia praw i wolności osób, których dane dotyczą, w szczególności ryzyko kradzieży tożsamości lub nadużyć finansowych. Aktualnie nie odnotowaliśmy żadnych informacji o negatywnych skutkach związanych z tym incydentem, a prawdopodobieństwo ich wystąpienia oceniamy jako średnie.

Powstałe zdarzenie zostało przeanalizowane zgodnie z obowiązującymi przepisami i zgodnie z art 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w dniu 07.01.2026 r. zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.

Zalecamy zachowanie ostrożności w szczególności należy:

  • Ignorować nieoczekiwane lub podejrzane wiadomości e-mail, w szczególności od nieznanych nadawców lub pochodzących z adresów mailowych usiłujących podszywać się pod powszechnie znane instytucje (np. banki lub organy państwowe) oraz nie otwierać podejrzanych załączników (np. przesłanych pocztą elektroniczną plików w nieznanym lub niepopularnym formacie).
  • Dokładnie analizować wszelkie komunikaty przekazywane drogą elektroniczną.
  • Nie korzystać z linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach mailowych, SMS-ach lub poprzez komunikatory internetowe.
  • Zachować ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów oraz podczas korzystania z bankowości elektronicznej lub płatności internetowych.
  • Dokładnie analizować wszelkie otrzymane rachunki lub wezwania do zapłaty pod kątem możliwości podszywania się pod instytucje, z którymi zostały wcześniej zawarte umowy.

Przepraszamy za zaistniałą sytuację i zapewniamy, że ochrona danych osobowych dzieci i ich rodziców/opiekunów jest dla nas sprawą najwyższej wagi.
Administratorem danych osobowych jest Miejski Zespół Żłobków w Łodzi ul. Zachodnia 55a, 91-063 Łódź. W sprawach związanych z przetwarzaniem danych osobowych mogą się Państwo kontaktować z Inspektorem Ochrony Danych: Aleksandra Turczyńska, iod@mzz.lodz.pl, tel. 452 435 622

Z wyrazami szacunku
p.o. DYREKTORA
mgr Krystian Wolnicki

Aktualizacja 12.01.2026 10:41

Ewa Chojnacka z Politechniki Łódzkiej przekazała nam odpowiedzi na nasze pytania. Wynika z nich, że wszystko było testowane i analizy incydentu były. Niestety nie wiemy jakie są wyniki tych analiz. Poniżej nasze pytania i odpowiedzi PŁ.

Nbzp: Czy osoby rozwijające aplikację do zarządzania żłobkami zostały upoważnione do przetwarzania danych rodziców i dzieci oraz czy podpisano z nimi stosowne umowy powierzenia danych.

Tak

Nbzp: Czy aplikacja była testowana pod kątem bezpieczeństwa i czy na bieżąco usuwano z niej wszystkie zgłoszone błędy?

Aplikacja została poddana wewnętrznym testom bezpieczeństwa oraz zaplanowano audyt zewnętrzny. W wyniku przeprowadzonych analiz wyeliminowano możliwość nieautoryzowanego dostępu do zasobów aplikacji, w tym do jej źródeł. Mechanizm autoryzacji został rozbudowany do modelu dwupoziomowego, obejmującego uwierzytelnianie za pomocą loginu i hasła oraz jednorazowego żetonu autoryzacyjnego wysyłanego na przypisany adres e-mail użytkownika. Żeton posiada ograniczony czas ważności (10 minut), co istotnie redukuje ryzyko przejęcia sesji. Zgłaszane błędy były na bieżąco analizowane i usuwane w ramach prac utrzymaniowych.

Nbzp: Czy przeanalizowano środowisko aplikacji pod kątem możliwych wycieków danych i czy ewentualne wycieki zostały właściwie obsłużone zgodnie z RODO?

Środowisko aplikacji zostało przeanalizowane pod kątem potencjalnych wektorów wycieku danych. Wrażliwe endpointy systemowe są dostępne wyłącznie dla użytkowników posiadających poprawną autoryzację, a dostęp do zasobów aplikacji (w tym źródeł JavaScript) został odpowiednio ograniczony mechanizmami kontroli dostępu po stronie serwera. Każde uprawnione pobranie danych osobowych jest rejestrowane w bazie danych wraz z informacją identyfikującą użytkownika oraz czasem operacji, co umożliwia audyt dostępu i spełnienie wymogów rozliczalności. Zastosowane rozwiązania minimalizują ryzyko nieuprawnionego dostępu do danych oraz są zgodne z zasadami RODO, w szczególności w zakresie poufności, integralności i ograniczenia dostępu do danych osobowych. W przypadku wykrycia incydentów bezpieczeństwa przewidziane są procedury ich obsługi zgodnie z obowiązującymi przepisami.

Nbzp: Czy incydent zostanie lub został przeanalizowany pod kątem masowego pobierania danych?

Przeprowadzono analizę zasobów w celu przesłania stosownej informacji osobom poszkodowanym.

Aktualizacja 12.01.2026 10:52

W serwisie Radia Łódź znalazła się publikacja na temat incydentu, w której cytowany jest rektor Politechniki Łódzkiej.

Nieprawdą jest, że coś wyciekło. Portal niebezpiecznik.pl znalazł uchybienie w aplikacji, ale z tych informacji, które zostały mi przekazane z danych logowania i z przejrzenia pracy systemu, to było jedyne logowanie i jedyne pobranie danych, jakie nastąpiło.

Niestety musimy zaprzeczyć informacjom, które przekazano Rektorowi.  Nawet jeśli redaktor Niebezpiecznika widział te dane to znaczy, że doszło do naruszenia ich poufności, ale ponadto:

  1. Redakcja Niebezpiecznika sprawdzała dostępność danych z więcej niż jednego adresu IP. Nie doszło do jakiegoś pojedynczego sprawdzenia, tylko do kilku. I nie były to “logowania” tylko ujrzenie danych bez zalogowania.
  2. Redakcja Niebezpiecznika dowiedziała się o sprawie od pewnego źródła i ono również było świadome co się stało.

Nie było więc “jedynego logowania” jak twierdzi Rektor.

Aktualizacja 13.01.2026 8:11

MZŻ przekazał do naszej redakcji obszerniejsze stanowisko związane z wyciekiem, które jest odpowiedzią na zadane przez nas pytania. Poniżej cytujemy fragmenty (część odpowiedzi to powtórzenie tego, co było w stanowisku Politechniki).

Wszelkie osoby, pracujące nad rozwojem aplikacji, posiadają upoważnienia do przetwarzania danych osobowych. Porozumienie o współpracy z PŁ zawiera również umowę powierzenia przetwarzania danych osobowych (…) Od 23.12.2025 r. dane były dostępne. Przeprowadzono analizę zasobów które wyciekły w celu przesłania stosownej informacji osobom poszkodowanym. Po przeanalizowaniu logów do aplikacji, możemy stwierdzić, że nie było masowych pobrań, a pobranie nastąpiło z jednego adresu IP.

Jak już pisaliśmy wcześniej, naszym zdaniem nie mogło dojść do pobrania z tylko z jednego adresu IP, albo w analizie nie wychwycono wszystkiego. Rozumiemy jednak, że MZŻ bazuje na informacjach otrzymanych od podmiotu przetwarzającego.

Czytaj artykuł na stronie źródłowej

Katalog Polskich Firm z Sektora Cyberbezpieczeństwa

Cyber Katalog to niezależna platforma gromadząca zweryfikowane polskie firmy specjalizujące się w cyberbezpieczeństwie. Naszą misją jest wspieranie decydentów w wyborze rzetelnych partnerów do ochrony zasobów cyfrowych.

Copyright © 2026 Cyber Katalog. Wszelkie prawa zastrzeżone.

Projekt i wykonanie: Silesian Solutions

Zespół Cyber Katalog nie świadczy usług doradczych przy wyborze dostawców. Naszą misją jest rozwój polskiej branży cybersecurity. Tworzymy niezależną przestrzeń, w której decydenci mogą łatwo nawiązywać kontakt ze sprawdzonymi firmami. To specjaliści oferujący zaawansowane usługi z zakresu ochrony cyfrowej i bezpieczeństwa IT.

Zwiększ widoczność w branży cyberbezpieczeństwa

Dodaj swoją firmę