Biblio hackat

E-bokstjänsten Biblio verkar ha utsatts för någon form av attack, eventuellt blivit hackad, enligt Aftonbladet. Två citat från artikeln:





För en som använder appen flitigt, vad kan ha hänt med ens personuppgifter? Hur orolig bör en vara?

Well, byt PIN-kod?

Vad har du annars för info hos Biblio som kan skada dig? (Notera att personummer är rätt offentliga på annat håll ändå...) Din läs-historik?

Jag har klickat runt och läst info på några olika bibliotek. Det verkar inte handla om egentlig hacking av Biblios site, utan om att folk är idioter.

Man kan logga in med personnummer som lånekortsnummer på rätt många bibliotek, och därmed på Biblio-tjänsten för dessa bibliotek. Ett okänt men tydligen stort antal personer har satt PIN-koder som nu måste bytas på formen:
De sista 4 siffrorna av personnumret
Månad+Dag i personnumret
År+Månad i personnumret
År+Dag i personnumret

Låter som att någon har kunnat använda existerande konton, och skapa nya konton, till tjänsten, och logga in, och då "låna" mängder med böcker. För att det räcker att ha en PIN-kod på 4 siffror för att logga in.

Verkar som att olika aktörer här skyller lite på varandra.

På tisdagskvällen stängdes e-bokappen Biblio av efter att konton knutna till lånekort på ett antal bibliotek runtom i landet systematiskt börjat låna stora mängder medier. Totalt berördes fyra bibliotek på olika platser i landet.

Lånen skedde i en sådan omfattning att de berörda kommunernas ekonomiska kvoter för bibliotekens e-medier tömdes.

Drygt 8000 konton skapades under tisdagen.

Under onsdagen har Wedobooks konstaterat att lån också gjorts från äldre konton, och att det då rör sig om om ett större antal bibliotek.

https://www.biblioteksbladet.se/nyheter/angrepp-pa-biblio-tomde-kommuners-konton-for-e-medier/

De har alltså skapat nya konton på Biblio, inte nya lånekonton på biblioteken. Så jag misstänker fortfarande att det handlar om inloggning med personnummer och alltför lättgissad PIN-kod enligt ovan.

Sen är ju frågan om utförarna har testat en massa personnummer + enkla PIN-koder på Biblio, eller om de har kunnat kolla på biblioteken vilka som av dem som tillåter inloggning med personnummer och vilka av deras användare som har dessa lättgissade PIN-koder.

Kan det vara samma gäng som gjorde "intrånget" mot spotify?

Stockholms stadsbibliotek verkar iaf erkänna att det är dom som blivit hackade. Om dom nu inte är osofistikerade nog att tror att dom blivit hackade, utan att ha blivit det.

Låter som att någon tagit sig in på ett eller flera folkbiblioteks system och därifrån kunnat generera konton till Biblio. Med "fyra bibliotek " menar dom nog fyra olika kommuner. Möjligtvis att det finns någon gemensam komponent som olika kommuner har som kunnat utnyttjas.

Just nu går det inte att logga in på ”mina sidor” på biblioteket.stockholm.se. Samtliga låntagare i Stockholm har också fått sina pinkoder nollställda. Bakgrunden är ett misstänkt dataintrång, som lett till att Stockholms stadsbibliotek vidtar flera säkerhetsåtgärder.

Stockholms stadsbiblioteks e-boksleverantör Wedobooks upptäckte natten mellan den 2 och 3 juni en misstänkt aktivitet när ett extremt stort antal e-bokslån genomfördes, med hjälp av lånekortsnummer och pinkoder.

https://biblioteket.stockholm.se/aktuellt-pa-stockholms-stadsbibliotek

Stockholms stadsbiblioteks hemsida har utsatts för en misstänkt cyberattack, det upptäcktes under natten mot onsdagen.

”Stockholms stadsbiblioteks e-boksleverantör upptäckte misstänkt aktivitet när ett extremt stort antal e-bokslån genomfördes, med hjälp av lånekortsnummer och pinkoder”...

https://www.svt.se/nyheter/lokalt/stockholm/misstankt-cyberattack-mot-stockholms-stadsbibliotek

Varför i helsike vill någon hacka ett bibliotek. Det är nästan skrattretande om de kom från en främmande makt.

En personlig teori är att det är scene gruppen DECiPHER som står bakom hacket och att man hackat flera andra bibliotek tidigare men att det är först nu som man blivit påkommen. Under senaste tiden har dem släppt flera hundra böcker varje natt men sedan torsdag morgon har det inte kommit något nytt alls
https://predb.me/?group=decipher

Inte så kul om ens fyra sista siffror kommer ut...

"Bibliotek" betyder garanterat "kommun" i detta fall, Biblio finns i flera Stockholmskommuner bl a.
Håller med om att det verkar något oklart var hackarna tagit sig in och att alla verkade skylla på alla, åtminstone initialt. Håller dock med om att det verkar vara en rimlig förklaring att de tagit sig in via folkbibliotekens system på något sätt.

Gissningen om scengruppen har luftats på andra håll också. Det verkar rätt troligt, tycker jag, givet hur de tydligen har släppt en massa svenska e-böcker på senare tid för att plötsligt sluta när intrånget (eller vad det är) upptäcktes.

Jag har gått igenom de bibliotek jag har lånekort hos: ett halvdussin. De agerar väldigt olika.

• Hälften uppmanar bara till att byta PIN om man har använt delar av personnumret, annars verkar de inte anse att det finns anledning att byta just nu.
• Ett uppmanar att byta PIN i oavsett tidigare PIN.
• Två reagerar starkare. På ett av dem kan man byta PIN, men inte logga in i Biblio.
• Det andra har reagerat starkast av alla. Alla PIN-koder är nollade, så det går varken att logga in på biblioteket online, eller på Biblio. Det går bara att lsätta ny PIN på plats i bibliotek om man visar ID - inte ens återställning via registrerad mail duger alltså.

Jag ser inget mönster i reaktionerna, varför vissa tar det lugnt och andra spärrar alla. Det handlar inte om ifall de tillät inloggning med personnummer (+ PIN) eller om de krävde lånekortsnummer (+ PIN). Det är blandat, helt oberoende av hur starkt de reagerar. Min gissning är därför (fortfarande) att problemkontona har haft delar av personnumret som inloggning, men att en del bibliotek tar det säkra före det osäkra och spärrar alla, oavsett PIN, från att logga in på Biblio tills vidare.

På Biblio gäller i fortsättningen inloggning med e-post + lösen för att kunna låna. Jag kunde logga in med lånekort + PIN för att fixa det för de fyra bibliotek som inte helt har spärrat Biblioinlogg.