Hopp til innhold

Studenter avslørte alvorlig sikkerhetsfeil i utbredt IT-system

Informasjon om 3,5 millioner lånere lå dårlig beskyttet i over ett år. Biblioteksystemet er brukt i hele landet.

Fra venstre: Elisabeth Marie Opsahl, Sindre Thomassen, Donn Morrison og Anette Olli Siiri

STUDENTER: Bachelorgruppa ble overrasket over de alvorlige feilene de fant. Fra venstre Elisabeth Marie Opsahl, Sindre Thomassen, førsteammanuensis Donn Morrison og Anette Olli Siiri.

Foto: Privat

I april fant tre studenter ved NTNU et sikkerhetshull i Bibliofil. Utlånssystemet er i bruk ved 159 forskjellige bibliotek i Norge, og har registrert informasjon om 3,5 millioner lånere.

Siden januar 2019 har blant annet navn, adresse, telefonnummer og personnummer vært tilgjengelig med kun enkle tekniske grep.

Bibliofil brukes ved en rekke skole- og folkebiblioteker, fylkesbiblioteker og flere fagbiblioteker, samt Deichmanns fengselsbibliotek i Oslo.

Bacheloroppgave

Anette Olli Siiri, Elisabeth Marie Opsahl og Sindre Thomassen hadde sikkerhetssjekk ved Trondheim folkebibliotek som bacheloroppgave. Ved påske oppdaget de feilene.

– Da har jo vi vist at til og med biblioteket kan hackes. Det kunne jo fått alvorlige konsekvenser hvis noen andre hackere kunne fått til dette, med onde hensikter, sier Elisabeth Marie Opsahl.

Leverandøren varslet avvikene videre til Datatilsynet, i en rapport NRK har fått innsyn i. Nettstedet Digi.no omtalte saken først.

Studentene fant ut at en webløsning i Bibliofil åpnet for at angripere kunne få tilgang til tjeneren til systemet og all data om lånerne på den. Samtidig fant de også loggfiler fra systemet hvor personinfo lå lagret.

Da biblioteket ble gjort oppmerksomme på studentenes funn, varslet de leverandøren Bibliotek-Systemer. De rettet feilen i løpet av litt over to timer, om ettermiddagen 17. april 2020.

En gjennomgang leverandøren har gjort av systemene viser at ingen har utnyttet sikkerhetshullet. Ingen personopplysninger er på avveie, bekrefter daglig leder Ola Thori Kogstad i Bibliotek-Systemer i en e-post til NRK.

I slutten av april ble det også funnet svakheter i to nettprogrammer tilknyttet systemet. Disse gjorde det mulig å hente ut filer fra tjeneren hvis man kjente til filstrukturen. Også disse svakhetene ble rettet samme dag.

Vanlig teknisk feil

Gisle Hannemyr

Gisle Hannemyr mener denne feilen er et eksempel på at sikkerheten ikke testes godt nok.

Foto: Sjur Ø. Knudsen / NRK

– Dette er en ekstremt vanlig sikkerhetsfeil, som man antagelig finner i veldig mange systemer som ikke har vært testet, sier Gisle Hannemyr, universitetslektor ved Universitetet i Oslo.

Han får støtte av bransjekollega Kristian Gjøsteen ved NTNU. Han forklarer at systemet har latt brukere skrive inn kodesnutter i felt hvor man bare skal kunne skrive navn eller lignende.

Kristian Gjøsteen

Kristian Gjøsteen er professor ved Universitetet i Oslo. Han sier denne typen feil er blant de vanligste han ser.

Foto: NTNU

– Programmet får en data fra en bruker, og så stoler den på dataen uten å tolke at det er riktig. Dermed kan en angriper få applikasjonen til å titte på filer den ikke burde titte på, og gi innholdet i disse filene tilbake til angriperen, sier Gjøsteen.

Begge to berømmer studentene for å ha funnet hullet, og leverandøren for rask retting av feilen. Samtidig legger de vekt på at sikkerheten i Norge er for lav.

– Det er ikke slik at man bør gjøre sikkerhetstesting fordi målgruppen er sensitiv. Man bør alltid gjøre sikkerhetstesting, sier Hannemyr.

Umiddelbare grep

– Vi forholder oss til Datatilsynets kategoriseringer av personopplysninger, og så langt vi kan se er det ikke sensitive personopplysninger Bibliofil behandler, skriver Ola Thori Kogstad, daglig leder i leverandøren Bibliotek-Systemer AS.

Datatilsynet skriver til NRK at saken fortsatt er under behandling.

Kogstad forteller at svakhetene kom da de nye nettjenestene til Bibliofil ble tatt i bruk i januar 2019, og ble funnet som en del av en planlagt og avtalt sikkerhetstest som studentene utførte. I dag har de ingen kjente sårbarheter i systemene.

– Vi har allerede implementert noen tiltak, og planlegger å gjennomføre en rekke nye tiltak for å styrke sikkerheten i løsningen ytterligere, skriver Kogstad.

ENDRET 6. juli 2020 kl. 12.33: I en tidligere versjon av denne artikkelen sto det at systemet brukes ved Nasjonalbiblioteket. Dette er tatt bort, siden det kun brukes ved utlån til andre biblioteker, ikke privatpersoner.

Kulturstrøm

  • 3,7 millioner til fem filmproduksjoner

    Internasjonalt Samisk Filminstitutt (ISF) har bevilget 3,7 millioner norske kroner i årets første bevilgningsrunde. To kortfilmer, en tv-serie og to langfilmer får bevilgning.

    Det skriver ISFI i en pressemelding.

  • YouTube krever merking av KI-innhold

    De som publiserer på YouTube fremover, må huke av om innholdet er manipulert eller endret for å tydeliggjøre hva som er skapt ved hjelp av kunstig intelligens.

    – Seerne får stadig mer behov for åpenhet om hvorvidt det de ser på, er manipulert eller syntetisk, skriver selskapet på sin blogg.

    Den nye merkingen vil gjelde videoer hvor det kan være tvil om det man ser virkelig er ekte, for eksempel såkalt deepfake, hvor en kjent person sier noe vedkommende aldri har sagt.

    Det vil ikke gjelde videoer som åpenbart er manipulert, som for eksempel animasjonsvideoer, skjønnhetsfilter og spesialeffekter.

    (NTB)

  • Kvinnegruppa Ottar har anmeldt pornografisk russebuss

    Kvinnegruppa Ottar har anmeldt en russebuss fra Bryne som skal ha en pornografisk illustrasjon på siden av bussen.

    De har videresendt anmeldelsen, som de leverte til Sørvest politidistrikt, til Stavanger Aftenblad.

    Gruppa mener at illustrasjonen på utsiden av bussen bryter med straffeloven paragraf 317 om pornografi og paragraf 318 om utstillingsforbud av bilder av eksplisitt seksualisert karakter.

    – Kvinnegruppa Ottar reagerer kraftig på at noen skal kunne kjøre rundt i offentligheten med sitt kvinnefiendtlige budskap, skriver de i anmeldelsen.

    20 russegutter på Bryne vidaregåande skule har brukt omkring 3 millioner kroner på bussen. Guttene har tidligere sagt til Stavanger Aftenblad at foreldrene deres ikke er så begeistret for eksteriøret på bussen.(NTB)