Tusentals digitala bibliotekslån genomfördes på bara några timmar när okända gärningsmän skapade cirka 8 000 nya konton hos e-bokstjänsten Biblio. Attacken, som upptäcktes i tisdags, riktade sig mot det svenska bibliotekssystemet och har fått tjänsteleverantören Wedobooks att stänga ned utlåningen för användare som loggar in med lånekort och pinkod.

Wedobooks tillhandahåller e-bokstjänsten Biblio som används av många svenska folkbibliotek för digital utlåning. Det var företagets personal som under tisdagen upptäckte det ovanliga beteendet när ett stort antal lån med nyskapade lånekort genomfördes på extremt kort tid. Mönstret var tydligt – de anonyma ”låntagarna” lånade böcker och lämnade omedelbart tillbaka dem, för att sedan upprepa processen tills maxkvoten för lån nåddes. Därefter tog nästa ”låntagare” vid.

Jeppe Nyrup, marknadsdirektör på Wedobooks, uppger att uppskattningsvis 8 000 nya konton skapades på ett par timmar på fyra olika bibliotek. När attacken upptäcktes vidtogs omedelbara åtgärder och utlåningen i Biblio stängdes ned för nya användare.

Den stora mängden konton som skapades under så kort tid tyder på att någon har fått tillgång till omfattande lånekortsdata med tillhörande pinkoder. Varifrån gärningsmännen skaffat sig denna känsliga information är ännu oklart, men Nyrup är tydlig med att informationen inte kan ha kommit från Wedobooks system.

”Eftersom det rörde sig om nya användare hade vi inga uppgifter om dessa lånekort eller pinkoder förrän efter att kontona hade skapats”, förklarar han. Informationen verkar inte heller ha läckt från de bibliotekssystem som utfärdar lånekorten, vilket gör läckan ännu mer gåtfull.

Under onsdagen eskalerade situationen ytterligare när liknande beteendemönster upptäcktes även hos befintliga användarkonton. Totalt har 78 bibliotek drabbats av incidenten. Som en direkt följd av detta har Wedobooks stängt ned utlåningen för alla konton där användare loggar in med lånekort eller personnummer kombinerat med en fyrsiffrig pinkod.

Användare som istället loggar in via e-post kan fortfarande använda tjänsten utan problem. ”Om du däremot loggar in via mejl så går det, då vet vi att det är en riktig person”, säger Nyrup.

Bland de drabbade biblioteken finns Stockholms stadsbibliotek, som har vidtagit kraftfulla åtgärder för att skydda sina låntagare. På sin hemsida meddelar biblioteket att de nollställt pinkoderna till samtliga låntagare som en försiktighetsåtgärd. Detta innebär att tusentals stockholmare behöver sätta nya pinkoder för att kunna fortsätta låna digitala böcker.

Motivet bakom attacken förblir oklart. Jeppe Nyrup erkänner att företaget ännu inte vet om det handlar om ett rent sabotage för att skapa störningar, ett test av systemets säkerhet, eller något mer allvarligt.

”Vi vet inte om det bara är för att irritera oss eller för att testa något. Det mest värdefulla vi har i systemet är böckerna, men det är bara inom vårt system du kan öppna och läsa dem. Så det kan vara ett uppenbart motiv – men för att vara helt ärlig så vet vi inte”, säger han.

Incidenten har också väckt frågor om säkerheten i det nuvarande inloggningssystemet. Nyrup är öppen med att den nuvarande metoden med lånekort och fyrsiffrig pinkod inte är tillräckligt säker enligt moderna säkerhetsstandarder. Han betonar att detta var det system som krävdes när företaget ursprungligen skulle leverera bibliotekstjänsterna, men att situationen nu kräver förändringar.

”Vi för en dialog nu för att se om vi kan ändra det och få till en säkrare lösning”, säger Nyrup.

Händelsen understryker den växande sårbarheten i digitala bibliotekstjänster och behovet av starkare autentiseringsmetoder. I takt med att allt fler bibliotek digitaliserar sina tjänster och e-böcker blir en allt viktigare del av biblioteksutbudet, blir även säkerhetsfrågorna alltmer kritiska. Wedobooks och de drabbade biblioteken arbetar nu intensivt med att utreda händelsen och förbättra säkerheten för framtiden.