Selbstausleihe überlistet: So haben wir Bücher mit fremder Identität ausgeliehen

Seit Juni 2016 können Wuppertaler Studierende ihre Bücher am Automaten ausleihen. Bib-Karte einscannen, Bücherstapel auflegen, ein Klick auf den Touchscreen – fertig. Nun muss seit gestern Nachmittag zusätzlich das individuelle Benutzerpasswort eingegeben werden. Der Grund: Nach Hinweisen aus dem Uni-Flurfunk konnten wir eine Schwachstelle im neuen Ausleihsystem ausnutzen und uns Bücher über fremde Benutzerkonten ausleihen. Im Selbstversuch kamen wir so in den Besitz von Fachliteratur im Wert von rund 200 Euro. Kurz darauf konfrontierten wir Uni-Verwaltung und Bib-Leitung mit dieser Erkenntnis. Wenige Stunden später wurde die Sicherheit an den Geräten durch o.g. Passwortabfrage erhöht.

Universitätsbibliotheksleitung reagiert und richtet Passworteingabe an Ausleihautomaten ein

Wie konnten wir uns Bücher über fremde Benutzerkonten ausleihen? Zum Ausleihen braucht man lediglich den Bibliotheksausweis. Auf dessen Rückseite findet sich eine Buchstaben- und Zahlenkombination – die Benutzerkennung. Der Barcode darüber enthält lediglich diese Kennung. Sie wird fortlaufend vergeben – die Systematik an einem Beispiel gezeigt:

  • UBWSxxxxxxxxxx1
  • UBWSxxxxxxxxxx2
  • UBWSxxxxxxxxxx3

Ergo: Die eigene Kennung „+1“ ergibt ein fremdes Benutzerkonto – wenn nicht gesperrt, gelöscht oder Ähnliches. Der neue Code kann per Online-Tool als Barcode ausgeben und anschließend ausgedruckt werden. Im Selbstversuch konnten wir so Fachbücher im Wert von rund 200 Euro ausleihen, die wir natürlich später zurückgegeben haben.

Potenzieller Schaden für Uni und Studierende

Diese Bücher wurden über einen fremden Account ausgeliehen.

Was könnte passieren, wenn auch andere auf diese Idee kämen? Jemand leiht sich teure Bücher auf euren Account aus und ihr merkt es erst beim nächsten Einloggen oder durch anfallende Strafgebühren. Schlimmer noch: Die Bücher sind weg und der finanzielle Schaden da – entweder auf Studierendenseite, die die Bücher womöglich ersetzen soll oder für die Bibliothek, die ihre Neuanschaffung finanzieren muss. Die Frage, ob Missbrauch oder Selbstverschulden vorliegt, dürfte dabei kaum zu beantworten sein. blickfeld hat die Bibliotheksleitung gestern Mittag auf das Sicherheitsproblem hingewiesen, mögliche Folgen angesprochen und um Stellungnahme gebeten.

Bibliotheksleitung reagiert: Selbstausleihe nur noch per Passwort möglich

Seit gestern 16 Uhr ist die Nutzung der Ausleihautomaten nur noch durch Eingabe des eigenen Benutzerpassworts möglich, welches individuell gesetzt werden kann – der Barcode alleine reicht nicht mehr aus. Dies wurde gegenüber blickfeld kurze Zeit nach unserer Anfrage von Seiten der Bibliotheksleitung angekündigt, wenig später umgesetzt und von uns auch getestet. Die Sicherheitslücke in der beschrieben Form wurde geschlossen, unbefugte Personen haben so keinen Zugriff mehr auf fremde Benutzeraccounts. »mw & hs«

Anzeige:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.