Selbstausleihe überlistet: So haben wir Bücher mit fremder Identität ausgeliehen

von blickfeld Wuppertal
6. Oktober 2016
Kommentare0

Seit Juni 2016 können Wuppertaler Studierende ihre Bücher am Automaten ausleihen. Bib-Karte einscannen, Bücherstapel auflegen, ein Klick auf den Touchscreen – fertig. Nun muss seit gestern Nachmittag zusätzlich das individuelle Benutzerpasswort eingegeben werden. Der Grund: Nach Hinweisen aus dem Uni-Flurfunk konnten wir eine Schwachstelle im neuen Ausleihsystem ausnutzen und uns Bücher über fremde Benutzerkonten ausleihen. Im Selbstversuch kamen wir so in den Besitz von Fachliteratur im Wert von rund 200 Euro. Kurz darauf konfrontierten wir Uni-Verwaltung und Bib-Leitung mit dieser Erkenntnis. Wenige Stunden später wurde die Sicherheit an den Geräten durch o.g. Passwortabfrage erhöht.

Universitätsbibliotheksleitung reagiert und richtet Passworteingabe an Ausleihautomaten ein

Wie konnten wir uns Bücher über fremde Benutzerkonten ausleihen? Zum Ausleihen braucht man lediglich den Bibliotheksausweis. Auf dessen Rückseite findet sich eine Buchstaben- und Zahlenkombination – die Benutzerkennung. Der Barcode darüber enthält lediglich diese Kennung. Sie wird fortlaufend vergeben – die Systematik an einem Beispiel gezeigt:

  • UBWSxxxxxxxxxx1
  • UBWSxxxxxxxxxx2
  • UBWSxxxxxxxxxx3

Ergo: Die eigene Kennung „+1“ ergibt ein fremdes Benutzerkonto – wenn nicht gesperrt, gelöscht oder Ähnliches. Der neue Code kann per Online-Tool als Barcode ausgeben und anschließend ausgedruckt werden. Im Selbstversuch konnten wir so Fachbücher im Wert von rund 200 Euro ausleihen, die wir natürlich später zurückgegeben haben.

Potenzieller Schaden für Uni und Studierende

Diese Bücher wurden über einen fremden Account ausgeliehen.

Was könnte passieren, wenn auch andere auf diese Idee kämen? Jemand leiht sich teure Bücher auf euren Account aus und ihr merkt es erst beim nächsten Einloggen oder durch anfallende Strafgebühren. Schlimmer noch: Die Bücher sind weg und der finanzielle Schaden da – entweder auf Studierendenseite, die die Bücher womöglich ersetzen soll oder für die Bibliothek, die ihre Neuanschaffung finanzieren muss. Die Frage, ob Missbrauch oder Selbstverschulden vorliegt, dürfte dabei kaum zu beantworten sein. blickfeld hat die Bibliotheksleitung gestern Mittag auf das Sicherheitsproblem hingewiesen, mögliche Folgen angesprochen und um Stellungnahme gebeten.

Bibliotheksleitung reagiert: Selbstausleihe nur noch per Passwort möglich

Seit gestern 16 Uhr ist die Nutzung der Ausleihautomaten nur noch durch Eingabe des eigenen Benutzerpassworts möglich, welches individuell gesetzt werden kann – der Barcode alleine reicht nicht mehr aus. Dies wurde gegenüber blickfeld kurze Zeit nach unserer Anfrage von Seiten der Bibliotheksleitung angekündigt, wenig später umgesetzt und von uns auch getestet. Die Sicherheitslücke in der beschrieben Form wurde geschlossen, unbefugte Personen haben so keinen Zugriff mehr auf fremde Benutzeraccounts. »mw & hs«

Utopiastadt Open Air: Trassenjam und Trassenrave 2018
Sommermusik mit UniPop
Weg vom Diplom, hin zum Bachelor und Master
Selbstauflösung des Studierendenparlamentes?
Semesterticket im Solidarmodell: Deutschlandticket für Studierende soll 29,40 Euro im Monat kosten
StuPa-Wahl: Ein Artikel für 10% unserer Leserschaft
„Wutpunkte“ an Universitäten
Uni-Bibliothek führt neues System „Alma“ ein
Rücktritte im Studierendenparlament (StuPa) sind rechtens
StuPa-Wahl 2025: Absolute Mehrheit für „Grüne Liste & Linke.SDS“ bei 6,6 Prozent Wahlbeteiligung

Teile diesen Beitrag

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert