Ett angrepp mot Biblio, den e-bokstjänst som folkbibliotek runt om i Sverige använder, stängde ute över 100 000 låntagare efter att angripare utnyttjat enkla PIN-koder för att ta sig in i konton utan behörighet. Angreppet inleddes en tisdag, drabbade användare fick sina lånekort spärrade och tilldelades nya PIN-koder. Därmed förlorade de tillgången till sina utlånade e-böcker tills återställningsarbetet hade slutförsts.
Både Biblioteksbladet och Dagens Nyheter rapporterade om händelsen, och Aftonbladet bekräftade att Biblio-tjänsten hade utsatts för ett direkat angrepp. Flera bibliotek runt om i Sverige drabbades, men varken Biblio eller någon enskild biblioteksorganisation har publicerat en fullständig lista över berörda verksamheter..
En fyrsiffrig PIN-kod som enda skydd
Angreppet krävde varken en zero-day eller en avancerad intrångskedja. Angriparna identifierade att Biblio-konton skyddades av korta numeriska PIN-koder och använde automatiserade credential-stuffing- eller brute-force-tekniker för att systematiskt gå igenom det möjliga kodutrymmmet. Väl inne kunde de komma åt låntagarnas konton, se lånehistorik och störa aktiva lån.
Detta framstår som ett förutsebart säkerhetsmisslyckande. En numerisk PIN-kod på fyra till sex siffror ger som mest några hundra tusen möjliga kombinationer. Mot ett system saknar begränsningar för upprepade inloggningsförsök eller inte spärrar konton efter ett visst antal felaktiga försök utgör en sådan lösning ett svagt skydd. Den mer intressanta frågan är om Biblio hade någon av dessa kontroller på plats. Företaget har inte svarat på den frågan offentligt.
Ingen CVE-identifierare har tilldelats händelsen, och varken CERT-SE eller MSB hade vid publiceringstillfället publicerat någon teknisk säkerhetsinformation om incidenten. Att det saknas en officiell säkerhetsrapport innebär dock inte att händelsen är obetydlig – snarare att den offentliga underlaget fortfarande är begränsat.
Vad Biblio har gjort – och vad företaget ännu inte har berättat
Biblios omedelbara åtgärd var att spärra drabbade konton och tvinga fram en PIN-återställning för berörda användare. Det är rätt första steg. Vad som inte följt är ett tydligt besked om omfattningen: hur många konton angriparna faktiskt tog sig in i, om personuppgifter utöver inloggningsuppgifter nåddes, och om den grundläggande svagheten i autentiseringen har åtgärdats strukturellt eller bara återställts.
Tvingade PIN-återställningar åtgärdar symptomet. Om Biblio inte har infört kontospärr efter upprepade felaktiga inloggningsförsök, eller om tjänsten fortfarande tillåter fyrsiffriga numeriska PIN-koder som giltiga inloggningsuppgifter, är samma angrepp möjligt att upprepa så snart användarna satt sina nya koder.
Om du har ett Biblio-konto
Har du fått en uppmaning att återställa din PIN-kod ska du inte välja en enkel sifferkombination. Välj det längsta alfanumeriska lösenord som tjänsten tillåter. Om Biblio ännu inte stöder längre lösenord, använd den maximala längd som finns tillgänglig och undvik varje sekvens som förekommer i dina andra konton.
Biblio-konton innehåller lånehistorik och låntagaridentitet. De uppgifterna är inte högvärdiga för ekonomiskt bedrägeri, men de räcker för att anpassa phishing-försök. All oväntad kommunikation som de kommande veckorna påstår sig komma från ditt bibliotek eller från Biblio bör granskas noga.
Vilka bibliotek som drabbades av störningen har ännu inte redovisats i sin helhet. Använder ditt bibliotek Biblio och har du inte fått någon direkt information om händelsen, kontakta biblioteket direkt i stället för att vänta på en systemprompt.
Referenser
- The Hacker Attack Creates e-book Chaos at Libraries
- Hackers Borrowed Books – Returned without Reading
- Major Hacker Attack on Library Service – Patrons Must Change Code
- Hacker attack on libraries – library cards were blocked
This post is also available in: