I april fant tre studenter ved NTNU et sikkerhetshull i Bibliofil. Utlånssystemet er i bruk ved 159 forskjellige bibliotek i Norge, og har registrert informasjon om 3,5 millioner lånere.
Siden januar 2019 har blant annet navn, adresse, telefonnummer og personnummer vært tilgjengelig med kun enkle tekniske grep.
Bibliofil brukes ved en rekke skole- og folkebiblioteker, fylkesbiblioteker og flere fagbiblioteker, samt Deichmanns fengselsbibliotek i Oslo.
Bacheloroppgave
Anette Olli Siiri, Elisabeth Marie Opsahl og Sindre Thomassen hadde sikkerhetssjekk ved Trondheim folkebibliotek som bacheloroppgave. Ved påske oppdaget de feilene.
– Da har jo vi vist at til og med biblioteket kan hackes. Det kunne jo fått alvorlige konsekvenser hvis noen andre hackere kunne fått til dette, med onde hensikter, sier Elisabeth Marie Opsahl.
Leverandøren varslet avvikene videre til Datatilsynet, i en rapport NRK har fått innsyn i. Nettstedet Digi.no omtalte saken først.
Studentene fant ut at en webløsning i Bibliofil åpnet for at angripere kunne få tilgang til tjeneren til systemet og all data om lånerne på den. Samtidig fant de også loggfiler fra systemet hvor personinfo lå lagret.
Da biblioteket ble gjort oppmerksomme på studentenes funn, varslet de leverandøren Bibliotek-Systemer. De rettet feilen i løpet av litt over to timer, om ettermiddagen 17. april 2020.
En gjennomgang leverandøren har gjort av systemene viser at ingen har utnyttet sikkerhetshullet. Ingen personopplysninger er på avveie, bekrefter daglig leder Ola Thori Kogstad i Bibliotek-Systemer i en e-post til NRK.
I slutten av april ble det også funnet svakheter i to nettprogrammer tilknyttet systemet. Disse gjorde det mulig å hente ut filer fra tjeneren hvis man kjente til filstrukturen. Også disse svakhetene ble rettet samme dag.
Vanlig teknisk feil
– Dette er en ekstremt vanlig sikkerhetsfeil, som man antagelig finner i veldig mange systemer som ikke har vært testet, sier Gisle Hannemyr, universitetslektor ved Universitetet i Oslo.
Han får støtte av bransjekollega Kristian Gjøsteen ved NTNU. Han forklarer at systemet har latt brukere skrive inn kodesnutter i felt hvor man bare skal kunne skrive navn eller lignende.
– Programmet får en data fra en bruker, og så stoler den på dataen uten å tolke at det er riktig. Dermed kan en angriper få applikasjonen til å titte på filer den ikke burde titte på, og gi innholdet i disse filene tilbake til angriperen, sier Gjøsteen.
Begge to berømmer studentene for å ha funnet hullet, og leverandøren for rask retting av feilen. Samtidig legger de vekt på at sikkerheten i Norge er for lav.
– Det er ikke slik at man bør gjøre sikkerhetstesting fordi målgruppen er sensitiv. Man bør alltid gjøre sikkerhetstesting, sier Hannemyr.
Umiddelbare grep
– Vi forholder oss til Datatilsynets kategoriseringer av personopplysninger, og så langt vi kan se er det ikke sensitive personopplysninger Bibliofil behandler, skriver Ola Thori Kogstad, daglig leder i leverandøren Bibliotek-Systemer AS.
Datatilsynet skriver til NRK at saken fortsatt er under behandling.
Kogstad forteller at svakhetene kom da de nye nettjenestene til Bibliofil ble tatt i bruk i januar 2019, og ble funnet som en del av en planlagt og avtalt sikkerhetstest som studentene utførte. I dag har de ingen kjente sårbarheter i systemene.
– Vi har allerede implementert noen tiltak, og planlegger å gjennomføre en rekke nye tiltak for å styrke sikkerheten i løsningen ytterligere, skriver Kogstad.
ENDRET 6. juli 2020 kl. 12.33: I en tidligere versjon av denne artikkelen sto det at systemet brukes ved Nasjonalbiblioteket. Dette er tatt bort, siden det kun brukes ved utlån til andre biblioteker, ikke privatpersoner.