Uppdatering om dataläckan
Uppdatering 10 juni kl. 12.15
Det är nu en vecka sedan vi upptäckte onormal aktivitet i Biblio. Vi har ägnat tiden åt noggranna undersökningar och förbättringar av Biblio samt åt att samarbeta med de berörda biblioteken för att hitta källan till denna aktivitet.
Utifrån detta kan vi dra slutsatsen att Biblio inte hade några svagheter och att alla säkerhetsrutiner fungerade hos oss.
Det främsta problemet är den osäkra kombinationen av offentligt tillgängliga personnummer och i vissa fall lånekort samt en enkel fyrsiffrig PIN-kod som enda säkerhetslager vid inloggning.
Vi har bevis för att dessa utomstående personer i flera fall har utnyttjat bibliotekens webbplatser för att göra hundratusentals inloggningsförsök med uppenbara kombinationer av personnummer/lånekort och PIN-koder. Det gjordes endast ett fåtal försök på varje enskilt nummer, så de har lyckats undvika att utlösa bibliotekens larm, där en användare skulle blockeras vid för många felaktiga inloggningsförsök.
De allra flesta av dessa många inloggningsförsök avvisades på bibliotekens webbplatser eftersom PIN-koden inte var korrekt. Men en stor del av användarna hade en PIN-kod som kunde härledas direkt från lånekortet/personnumret. I dessa fall lyckades inloggningsförsöken, och inkräktarna sparade de fungerande uppgifterna i en databas.
Därefter användes de fungerande inloggningsuppgifterna för att logga in och göra lån i Biblio.
Biblio har INTE använts för att försöka tillskansa sig inloggningsuppgifter, och det har INTE förekommit några fall där inkräktarna har fått tillgång till Biblio-konton utan att ange fungerande inloggningsuppgifter.
Biblio användes uteslutande enligt definitionen i olika upphandlingar, där korrekt angivande av bibliotek, lånekort/personnummer och PIN-kod ska ge tillgång till att låna böcker på biblioteket.
Vi har nu – baserat på förra veckans händelser – infört ett extra säkerhetslager för att säkerställa att den person som använder korrekta inloggningsuppgifter i Biblio faktiskt är en riktig användare. Detta har vi gjort genom att kräva att användaren loggar in i Biblio med en e-postadress som bekräftas. Till detta konto kan användaren koppla sitt giltiga lånekort.
Detta har effektivt stoppat den omfattande, otillåtna aktivitet som vi såg förra veckan.
Aktiviteten i Biblio närmar sig nu samma nivå som vi såg före händelsen. Det finns dock enstaka bibliotek som för närvarande har valt att stänga av utlåningen i Biblio.
Vi vill återigen betona att Biblio inte har utgjort någon säkerhetsrisk i detta fall, så det är helt säkert att öppna upp för utlåning igen. Och med den nya inloggningsmetoden har vi nu säkerställt att det kommer att bli betydligt svårare för maskiner att tränga in i Biblio – även med fungerande inloggningsuppgifter.
Förutom samarbetet med de berörda biblioteken och deras systemleverantörer har vi nu också skickat en incidentrapport till alla de över 70 bibliotek där vi hade observerat användare med potentiellt misstänkt aktivitet. Rapporten kan användas för ytterligare bedömning av om det enskilda biblioteket kan ha inloggningsuppgifter som hamnat i fel händer. Rapporten kan också användas av dessa bibliotek för rapportering till myndigheterna.
Vi har även skickat denna rapport till CERT-SE och erbjudit dem att dela all dokumentation vi har samlat in, så att de kan göra en grundlig bedömning av om andra initiativ bör inledas på nationell nivå i Sverige mot bakgrund av detta.
Eftersom vi har lämnat de underrättelser vi kan till både potentiellt berörda bibliotek och relevanta myndigheter kan användare nu låna igen. Och eftersom Biblio med de extra säkerhetslagren inte längre kan tömma bibliotekens utlåningsbudgetar på ett otillbörligt sätt, är vårt fokus nu att blicka framåt.
Vi har fått en del frågor om det fanns några samband mellan de böcker som lånades ut under händelsen.
Vi har hittat vissa gemensamma nämnare, men inget som ger någon uppenbar förklaring till varför just dessa lån gjordes.
Statistik:
- Mer än 33 000 lån gjordes
- 99,99 % av lånen var e-böcker – endast 98 ljudböcker lånades
- Lånen fördelades på 298 förlag
- Böcker av 10 882 olika författare lånades ut
- 736 av böckerna lånades ut mer än en gång
- 97 % av böckerna lånades ut en gång
- Utgivningsåren för de lånade böckerna sträcker sig från 2001 till 2026, med en tydlig övervikt av böcker utgivna 2018
Vi har fortfarande en del användare kvar att få tillbaka till Biblio. Vårt supportteam har mycket, mycket fullt upp med att hjälpa användare som av olika skäl har avvikit från den guide vi har tagit fram för att återaktivera sitt Biblio-konto.
Vi vill också gärna ha en dialog med de bibliotek som för närvarande har stängt av utlåningen i Biblio, så att deras användare så snart som möjligt kan återvända till Biblio igen.
Vi kommer dessutom att kontakta de bibliotek och instanser som har krävt inloggning med lånekort/personnummer + PIN-kod för att uppdatera avtalen, så att vi kan ha det extra säkerhetslagret i Biblio som vi behöver för att säkerställa att ett konto används av en riktig person.
När det gäller framtida inloggningslösningar uppmanar vi biblioteken att inleda en dialog med sina systemleverantörer om en säkrare biblioteksinloggning. Vi står till förfogande för att dela med oss av våra synpunkter och vår kunskap till systemleverantörerna i detta ärende. När säkrare lösningar har implementerats i biblioteksystemen kommer vi självklart, i samarbete med leverantörerna, att införa de ändringar som kan behövas i Biblio.
Vi uppmanar också biblioteken att internt undersöka om det kan ha förekommit onormal aktivitet i era system under de senaste veckorna – till exempel i form av många inloggningsförsök på hemsidorna – för att klargöra om det har förekommit möjliga intrångsförsök hos er.
Eftersom den onormala aktiviteten snabbt stoppades i Biblio vet vi inte hur utbredd den är. Det kan inte uteslutas att det endast går att missbruka en bråkdel av den information som dessa personer har samlat in, men vi vet inte.
Vi räknar inte med att komma med ytterligare uppdateringar i detta ärende, såvida det inte sker ytterligare utveckling som är viktig för alla bibliotek att känna till.
Om specifika frågor skulle uppstå hänvisar vi till vår support på support@biblio.app.
________
Uppdatering 5 juni kl. 15.15
Efter samråd med flera av de berörda biblioteken och systemleverantörerna anser vi nu att vi har en förklaring till vad som har hänt.
Under torsdagskvällen fick vi vissa indikationer på vad som kunde ha hänt.
Vi har därför under fredagen analyserat de över 8 000 lånekort som användes för att skapa användare i Biblio.
Det visade sig att den stora majoriteten av dessa lånekort hade pinkoder med lättigenkännliga mönster, som i de flesta fall kunde gissas.
Minst ett av de fyra bibliotek som användes i Biblio för denna attack har nu bekräftat att de natten före attacken mot Biblio mottog flera hundra tusen inloggningsförfrågningar på sin hemsida. Många av dem misslyckades, men en del (dessa uppenbara kombinationer) godkändes. Därmed fick de objudna gästerna bekräftat att inloggningen var giltig.
Dagen därpå började de använda dessa giltiga lånekort hos Biblio för att låna böcker åt både nya och redan befintliga Biblio-användare.
Detta förklarar varför det var möjligt att skapa en massa giltiga användare i Biblio och låna böcker utan att våra system upptäckte något fel. Det förklarar också att pinkoderna stämde vid det första inloggningsförsöket.
Våra larm var effektiva, så vi kunde stoppa detta mycket snabbt.
Så i grund och botten vet vi inte om de objudna gästerna bara hann testa en liten del av den databas de hade fått tag på med hjälp av denna metod.
I princip kunde de ha gjort detta på hemsidorna för alla bibliotek i Sverige, om det inte funnits säkerhetsåtgärder mot det – det vet vi inte, eftersom denna information finns hos de enskilda biblioteken och deras leverantörer.
Angående att låna i Biblio
Vi har nu gjort några ändringar i Biblio-inställningarna så att det är möjligt att låna igen. Det kräver först och främst att man kopplar en e-postadress som inloggningsmetod, varefter det är nödvändigt att logga ut från Biblio och logga in igen med e-postadress och lösenord.
Under fredagseftermiddagen kommer nya versioner av Biblio att släppas. Här införs ytterligare ett säkerhetssteg, där det blir nödvändigt att bekräfta e-postadressen för att kunna fortsätta använda Biblio.
Vi uppdaterar löpande denna guide om hur man återigen kan låna i Biblio
_______
Uppdatering 5 juni kl. 8.45
Vi vill börja med att tacka för den förståelse, tålamod och tacksamhet som vi har mottagit från många bibliotek under torsdagen, nu när vi helt oväntat har hamnat i den här situationen denna vecka.
Baserat på några av de förfrågningar vi har fått idag vill vi dock klargöra att vi med 99,9 % säkerhet inte har fått data stulna från Biblio. Vi har inte hittat några okända säkerhetsluckor som har utnyttjats. Tvärtom har denna händelse visat att våra processer och system fungerar. Vi upptäckte den avvikande aktiviteten snabbt. Våra system skalade som vi har utformat dem, så Biblio var på inget sätt överbelastat, även om aktiviteten plötsligt var flera gånger större än normalt, och vi kunde stoppa den oönskade aktiviteten på kort tid.
Men vi kan däremot med säkerhet konstatera att ett stort antal inloggningsuppgifter (lånekort/personnummer med matchande PIN-koder) har hamnat i fel händer. Vi har identifierat att uppgifter för mer än 8 000 användare har komprometterats, men eftersom vi stoppade den oavsiktliga aktiviteten relativt snabbt kan det verkliga antalet drabbade användare vara betydligt högre än så.
Vi har registrerat fyra bibliotek där inloggningsuppgifter för vissa av deras låntagare med säkerhet har hamnat i fel händer. Vi står i nära kontakt med dessa bibliotek och deras leverantörer och delar data och loggfiler för att kunna bidra till att utreda var läckan har sitt ursprung. Flera av dessa bibliotek har meddelat oss att händelsen kommer att anmälas till polisen, och när vi får en förfrågan från myndigheterna är vi självklart helt redo att ge dem all nödvändig information.
Efter att vi fått kännedom om detta har vi undersökt beteendet i Biblio ytterligare. I samband med detta har vi identifierat ett antal Biblio-konton som under den senaste månaden uppvisat ett liknande beteende i vårt system som den stora mängden läckta konton.
Vi vill gärna understryka att det inte nödvändigtvis är utomstående som har använt denna grupp av konton. Det kan mycket väl vara riktiga låntagare, men baserat på tidigare observationer verkar beteendet misstänkt. Denna grupp är betydligt mindre och spridd över många fler bibliotek.
Eftersom vi inte heller kan utesluta att det rör sig om komprometterad information, kontaktade vi under torsdagen dessa mer än 70 bibliotek med information om de misstänkta lånekorten. För 5 av dessa bibliotek handlar det om mellan 10–31 användare som har uppvisat misstänkt beteende. För övriga bibliotek handlar det om färre än 10 användare.
Vi önskar att vi hade kapacitet att ha individuella möten med alla dessa bibliotek och svara på frågor.
Vi ber dock samtidigt om förståelse för att vi har ganska begränsade resurser när det gäller att hantera förfrågningar i detta ärende.
Vi måste därför prioritera våra insatser och har inte möjlighet att hålla individuella möten med alla bibliotek.
Vi koncentrerar oss först och främst på att bistå de fyra bibliotek som bevisligen har drabbats av informationsläckor samt deras systemleverantörer, så att vi förhoppningsvis gemensamt kan hitta källan.
Dessutom har vi för närvarande mer än 100 000 Biblio-användare som inte kan låna böcker i Biblio. Detta skapar naturligtvis ett enormt tryck på vårt supportteam.
Vi arbetar hårt för att kunna lansera en lösning så att alla läsglada användare av Biblio får möjlighet att låna under helgen. Det blir tyvärr nog inte världens mest eleganta lösning till en början, men vi gör vad vi kan för detta och kommer att förbättra den ytterligare under de kommande veckorna.
Så snart vi har ny, bekräftad information kommer vi att meddela detta via vårt nyhetsbrev.
____________
4. juni kl. 8.30:
Som vi meddelade i ett nyhetsbrev på onsdagsmorgonen utsattes Biblio för en omfattande cyberattack under tisdagen, då ett stort antal fiktiva lån gjordes med hjälp av en stor mängd nyskapade lånekort i systemet.
Under några timmar stängdes utlåningen i Biblio ned. Senare öppnades utlåningen igen för användare som skapats den 1 juni eller tidigare
Efter intensiva undersökningar under dagen kan vi nu konstatera att dataläckaget verkar vara större än vad vi först trodde.
Därför har det nu stängts av för att göra lån för användare som uteslutande använder lånekort för att logga in med. Om en användare använder antingen e-post eller någon av de andra inloggningsmetoderna som Biblio erbjuder, kommer det fortfarande att vara möjligt att låna.
Först och främst är det viktigt att fastställa att det enligt våra observationer hittills inte finns några som helst indikationer på att data har läckt från Biblio, men att någon har tillgång till en stor mängd lånekortsdata med tillhörande pinkoder för riktiga användare. Denna information används för närvarande för att försöka göra lån i Biblio.
Vår främsta indikation på detta är att flera tusen nya användare har skapats i Biblio på mycket kort tid, där lånekort och pinkoder härrör från befintliga användare som aldrig tidigare har registrerats i Biblio. Vi kände alltså inte till dessa uppgifter innan de skapades hos oss, och de måste därför ha kommit från en annan källa.
De som utger sig för att vara riktiga låntagare lånar böcker och lämnar omedelbart tillbaka dem utan att läsa i dem. Detta sker tills ”användaren” når sin maximala kvot, varefter nästa ”användare” börjar låna. Under onsdagen har vi uppmärksammat att detta beteende inte bara förekommer hos nya användare, utan även hos ett antal befintliga användare i Biblio, varför det har varit nödvändigt att vara mer restriktiva och stänga av utlåningen för dessa användare, där det uteslutande är lånekort/personnummer och pinkod som används för inloggning i Biblio.
Hittills har vi identifierat att det potentiellt rör sig om lånekort från flera olika biblioteksystem och att en eller flera användare uppvisar liknande beteende vid 78 bibliotek.
Eftersom Biblio-systemet inte i sig har missbrukats är det svårt att avgöra om det är en riktig användare som har återlämnat alla sina lån eller om det är ett automatiserat beteende.
Vi kommer därför under torsdagen att kontakta alla de bibliotek där vi har identifierat detta misstänkta beteende med den information vi har.
De allra flesta bibliotek har ganska få användare som har uppvisat detta beteende, men eftersom vi inte kan utesluta att det kan vara en del av den läckta informationen har vi valt att kontakta samtliga av dessa bibliotek.
Vad händer nu
Förutom att vi för en dialog med de berörda biblioteken, bistår vi även deras leverantörer av biblioteksystem med den information vi har, så att vi tillsammans förhoppningsvis kan ta reda på varifrån detta dataläckage kommer.
Vi kan också konstatera att metoden att logga in med lånekort och en fyrsiffrig PIN-kod är för osäker. Detta har varit ett krav i de senaste upphandlingarna av digitala utlåningslösningar, så vi har varit tvungna att leverera en sådan lösning, även om vi inte ser det som den mest optimala ur säkerhetssynpunkt.
De senaste dagarnas händelser bekräftar tyvärr att det inte är en tillräckligt säker lösning. Vi är redan i dialog med flera bibliotek om möjliga lösningar som kan säkerställa att vi så snart som möjligt kan öppna upp för utlåning för alla användare igen.
