Dataangrep tømde svenske bibliotek for e-bøker

Tysdag 2. juni blei e-bokappen Biblio stengt for alle svenske brukarar etter at «falske kontoar» byrja å låna så mykje at fire bibliotek gjekk tomme for utlånslisensar, melder Biblioteksbladet. Beløp som normalt skulle vara månadar blei brukt opp på nokre timar.

E-bokappen Biblio som dei svenske folkebiblioteka bruker er den same som blei fasa inn i Norge i vår.

8000 nye kontoar på ein dag

– Vi berre drog ut kontakten. I løpet av natta var det difor ikkje mogleg å låne noko i det heile, uttalte Jeppe Nyrup til Biblioteksbladet dagen etter. Nyrup er marknadsdirektør i Wedobooks som står bak Biblio.

Han fortel at over 8000 kontoar blei oppretta i løpet av tysdagen. Den første bølga med åtak på var knytt til nyoppretta lånekort på fire bibliotek. Leverandøren la difor inn ei sperre som hindrar lån frå kontoar som er oppretta etter 1. juni. Men onsdag 3. juni fann Wedobooks ut at det òg blei gjort liknande utlån gjennom eldre kontoar knytt til fleire bibliotek rundt i landet.

– Vi anar ikkje kva hensikta er. Handlar det om å teste systema våre? Prøver nokon å finne svakheiter for å få ut innhald? undrar Jeppe Nyrup.

– Vi går gjennom alle data for å finne ut kor omfattande og alvorleg dette eigentleg er.

Personnummer i pinkoden

Lånekorta bak kontoane er knytt til biblioteksystem frå leverandørane Systematic og Axiell. Onsdag 3. juni hadde ingen av dei funne noko uregelmessig som kan knytast til åtaket på Biblio-systemet.

– Problemet ligg ikkje hos oss, men hos Wedobooks, sa administrerande direktør i Axiell Maria Wasing til Biblioteksbladet då.

Wedobooks har heile tida avvist at problemet ligg i Biblio-appen.  

I ei sak publisert fredag 5. juni svarar Wasing at Axiell har identifisert at lånarar i to kommunar har vore utsette for uautorisert tilgang til kontoane sine i den nettbaserte portalen Arena.

– Vi har samarbeidd med Wedobooks i utgreiinga for å forstå hendingsforløpet, og slik vi ser det no, blei åtaket mot e-boktenesta mogleggjort ved at dei råka lånarane hadde pinkodar baserte på delar av personnummeret sitt, seier Wasing

Alle i Stockholm

Axiell-direktøren forklarar at ingen data har kome ut. Dei samarbeider med kundane om raskt å endre handteringa av pinkodar slik at tryggleiken blir betra.

Fredag 5. juni hadde meir enn 100 000 brukarar fått låna sine sperra og blitt tildelt nye pinkodar, mellom anna alle brukarar i Stockholm.

På spørsmål om kva Wasomg trur er målet med angrepet, skriv ho at ho gjerne skulle ha forstått det, men at ho dessverre ikkje kan svare på det og ikkje vil spekulera.

– Det vi kan sjå no, er at svenske verktøy har blitt brukt. Å angripe ein samfunnsviktig funksjon som bibliotek, er berre beklageleg, seier Maria Wasing.

Metoden avslørt

Wedobooks ikkje har blitt kontakta på noko vis av inntrengjarane.

– Vi handla raskt og klarte å stenga dei ute slik at dei ikkje kunne gjera skade i systemet vårt. Men det store problemet er at dei har tilgang til ei gyldig bibliotekinnlogging og kan bruke den overalt der den fungerer. Eg går ut frå at dei til og med kan brukast til å låna fysiske bøker på biblioteket ein annan sitt namn, seier Jeppe Nyrup.

Det viser seg at dei fleste lånekorta som blei brukte til å oppretta «falske» brukarar hadde pinkodar som var lette å avsløra. Han fortel òg at dei fire råka biblioteka hadde fleire hundre tusen førespurnadar om innlogging på nettsidene sine natta før angrepet. Dei fleste mislukkast, men nokre lukkast, og slik fekk dei ubedne gjestane stadfesta at dei hadde rett innlogging. Dagen etter byrja dei å bruka dei gyldige lånekorta på Biblio.

Forlag manipulerte utlåna

I 2016 blei biblioteka i Burlöv og andre kommunar i Skåne utsette for eit svindelforsøk der representantar for eit forlag lånte sine «eigne» e-bøker i stor skala gjennom forgjengaren til Biblio, som den gongen vart drifta av Axiell, skriv Biblioteksbladet. Låna hadde blitt gjort frå 57 bibliotek og gav forlaget ei inntekt på litt over 80 000 SEK.

Ifølgje Jeppe Nyrup er det ikkje noko mønster i utlånet denne gongen, knytt til titlar, forfattarar eller forlag, som tyder på at den ti år gamle hendinga har gjenteke seg.

Erstattar tap

I slutten av sist veke hadde Biblio vore i kontakt med meir enn 70 bibliotek for å informera dei om lånekortnummer som «kanskje hadde vorte kompromitterte».

Fleire av biblioteka som blei råka kjem til å melda hendinga til politiet, skriv Biblioteksbladet.

I kommunikasjonen med biblioteka slår Biblio fast at dei er 100 prosent sikre på at innloggingsopplysningane ikkje er ein lekkasje frå dei, og at Biblio berre har vore målet for åtaket og litt ufortent hamna i sentrum av det heile.

Jeppe Nyrup stadfestar at Wedooboks vil betala tapte lisensar tilbake til kommunane som blei råka.