Linköpings universitet har vid en sårbarhetsscanning av IT-utrustning nyligen upptäckt att leverantörens administrativa gränssnitt kopplat till utlåningsautomaterna i biblioteken har exponerat information mot internet. Informationen har oavsiktligt exponerats av systemet på internet i 30 dagar efter lånetillfället. Anledningen till exponeringen beror på en felaktig implementering under 2012.
För att komma åt loggfilerna med information i administrationsgränssnittet har det krävts vetskap om datorns adress. Gränssnittet krävde dock ingen inloggning och exponerade i sin tur loggfiler från utlåningsautomaterna. Av loggfilerna kan man utläsa namn och e-postadress hos låntagare samt titel på respektive lånad tryckt bok. Personnummer eller lösenord förekommer inte i loggfilerna. Uppgifter om boklån anses vara särskilt skyddsvärda, bland annat eftersom de kan leda till slutsatser om låntagares intresseområden.
– Från vad vi har sett och med tanke på vilken förkunskap och vilka steg som behövdes för att hitta informationen tror vi inte att någon otillbörlig har tagit del av informationen. Informationen var inte sökbar. LiU kan dock inte helt utesluta den möjligheten och har agerat utan dröjsmål och vidtagit alla åtgärder som vi har till vårt förfogande för att skydda uppgifter om våra låntagare. Vi tar situationen på största allvar, säger David Lawrence, överbibliotekarie på Linköpings universitetsbibliotek.
Huvudsakligen är det anställda och studenter som är låntagare på biblioteket.
– Berörda låntagare som kan identifieras kommer att kontaktas med detaljerad information efter att LiU:s IT-säkerhetsgrupp har analyserat färdigt loggfilerna, säger David Lawrence.
Utlåningsautomaterna har tagits ur bruk och istället sker nu manuell betjäning vid utlån. En upphandling om nya utlåningsautomater pågår sedan tidigare och den har en omfattande kravlista gällande IT-säkerhetsaspekter.
– Processen för den nya upphandlingen är mycket bättre än tidigare och LiU ställer höga krav på våra leverantörer, säger David Lawrence.
