Studenter avslørte alvorlig sikkerhetsfeil i utbredt IT-system

Informasjon om 3,5 millioner lånere lå dårlig beskyttet i over ett år. Biblioteksystemet er brukt i hele landet.

Fra venstre: Elisabeth Marie Opsahl, Sindre Thomassen, Donn Morrison og Anette Olli Siiri

STUDENTER: Bachelorgruppa ble overrasket over de alvorlige feilene de fant. Fra venstre Elisabeth Marie Opsahl, Sindre Thomassen, førsteammanuensis Donn Morrison og Anette Olli Siiri.

Foto: Privat

I april fant tre studenter ved NTNU et sikkerhetshull i Bibliofil. Utlånssystemet er i bruk ved 159 forskjellige bibliotek i Norge, og har registrert informasjon om 3,5 millioner lånere.

Siden januar 2019 har blant annet navn, adresse, telefonnummer og personnummer vært tilgjengelig med kun enkle tekniske grep.

Bibliofil brukes ved en rekke skole- og folkebiblioteker, fylkesbiblioteker og flere fagbiblioteker, samt Deichmanns fengselsbibliotek i Oslo.

Bacheloroppgave

Anette Olli Siiri, Elisabeth Marie Opsahl og Sindre Thomassen hadde sikkerhetssjekk ved Trondheim folkebibliotek som bacheloroppgave. Ved påske oppdaget de feilene.

– Da har jo vi vist at til og med biblioteket kan hackes. Det kunne jo fått alvorlige konsekvenser hvis noen andre hackere kunne fått til dette, med onde hensikter, sier Elisabeth Marie Opsahl.

Leverandøren varslet avvikene videre til Datatilsynet, i en rapport NRK har fått innsyn i. Nettstedet Digi.no omtalte saken først.

Studentene fant ut at en webløsning i Bibliofil åpnet for at angripere kunne få tilgang til tjeneren til systemet og all data om lånerne på den. Samtidig fant de også loggfiler fra systemet hvor personinfo lå lagret.

Da biblioteket ble gjort oppmerksomme på studentenes funn, varslet de leverandøren Bibliotek-Systemer. De rettet feilen i løpet av litt over to timer, om ettermiddagen 17. april 2020.

En gjennomgang leverandøren har gjort av systemene viser at ingen har utnyttet sikkerhetshullet. Ingen personopplysninger er på avveie, bekrefter daglig leder Ola Thori Kogstad i Bibliotek-Systemer i en e-post til NRK.

I slutten av april ble det også funnet svakheter i to nettprogrammer tilknyttet systemet. Disse gjorde det mulig å hente ut filer fra tjeneren hvis man kjente til filstrukturen. Også disse svakhetene ble rettet samme dag.

Vanlig teknisk feil

Gisle Hannemyr

Gisle Hannemyr mener denne feilen er et eksempel på at sikkerheten ikke testes godt nok.

Foto: Sjur Ø. Knudsen / NRK

– Dette er en ekstremt vanlig sikkerhetsfeil, som man antagelig finner i veldig mange systemer som ikke har vært testet, sier Gisle Hannemyr, universitetslektor ved Universitetet i Oslo.

Han får støtte av bransjekollega Kristian Gjøsteen ved NTNU. Han forklarer at systemet har latt brukere skrive inn kodesnutter i felt hvor man bare skal kunne skrive navn eller lignende.

Kristian Gjøsteen

Kristian Gjøsteen er professor ved Universitetet i Oslo. Han sier denne typen feil er blant de vanligste han ser.

Foto: NTNU

– Programmet får en data fra en bruker, og så stoler den på dataen uten å tolke at det er riktig. Dermed kan en angriper få applikasjonen til å titte på filer den ikke burde titte på, og gi innholdet i disse filene tilbake til angriperen, sier Gjøsteen.

Begge to berømmer studentene for å ha funnet hullet, og leverandøren for rask retting av feilen. Samtidig legger de vekt på at sikkerheten i Norge er for lav.

– Det er ikke slik at man bør gjøre sikkerhetstesting fordi målgruppen er sensitiv. Man bør alltid gjøre sikkerhetstesting, sier Hannemyr.

Umiddelbare grep

– Vi forholder oss til Datatilsynets kategoriseringer av personopplysninger, og så langt vi kan se er det ikke sensitive personopplysninger Bibliofil behandler, skriver Ola Thori Kogstad, daglig leder i leverandøren Bibliotek-Systemer AS.

Datatilsynet skriver til NRK at saken fortsatt er under behandling.

Kogstad forteller at svakhetene kom da de nye nettjenestene til Bibliofil ble tatt i bruk i januar 2019, og ble funnet som en del av en planlagt og avtalt sikkerhetstest som studentene utførte. I dag har de ingen kjente sårbarheter i systemene.

– Vi har allerede implementert noen tiltak, og planlegger å gjennomføre en rekke nye tiltak for å styrke sikkerheten i løsningen ytterligere, skriver Kogstad.

ENDRET 6. juli 2020 kl. 12.33: I en tidligere versjon av denne artikkelen sto det at systemet brukes ved Nasjonalbiblioteket. Dette er tatt bort, siden det kun brukes ved utlån til andre biblioteker, ikke privatpersoner.

Kulturstrøm

  • TikTok og Twitter i samtaler

    Den kinesiske videoappen TikTok skal være i samtaler med Twitter om et samarbeid, melder Wall Street Journal. Det skal dreie seg om tidlige forhandlinger om drift av appens amerikanske del etter at president Trump nektet TikTok å drive videre i USA.

  • TikTok saksøker Trump-regjeringa

    TikTok vil saksøke Trump-regjeringa for restriksjonane mot appen. Søksmålet kan kome alt tysdag, melder NPR, som siterer ei anonym kjelde som skal arbeide med søksmålet. TikTok mener vedtaket er i strid mot grunnlova fordi dei ikkje fekk uttale seg.