Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

18.12.2018 | Informationen zur Beta-Version der Onleihe-App
Eine ausführliche Beschreibung zur Installation der Beta-Version für iOS und Android finden Sie HIER.

17.12.2018 | Hinweis zur Nutzung der eAudio in Onleihe-App und am PC.
Informationen dazu gibt es HIER.

  • Lesen können sie die allerdings nur, wenn sie ebenfalls über die Adobe-ID verfügen.


    Das stimmt AFAIK nicht.


    Neu ausgeliehene Titel können mit Adobe Digital Editions auch ohne Adobe-ID-Bindung ausgeliehen und dann mit denen Schindluder getrieben werden.

    Lediglich Titel, die bereits geliehen wurden und sich aktuell in der Ausleihe befinden, können nicht erneut mit ADE ohne passende ID geladen werden.



    Apropros ID: Wer hat sich eigentlich das mit dem Geburtsdatum ausgedacht? Wir haben 2018.

  • bin gespannt auf die Reaktion und ob die Jungs und Mädels von der IT meiner Bibliothek

    Ich wünsche es dir, so klein ist die Stadt ja nicht ;-)

    Soweit mir bekannt ist, kann man sich bei Nichterreichbarkeit der Heimatbibliothek nur dann einloggen, wenn man das "in letzter Zeit" gemacht hat. Da gibt es eine Art cache bei der Onleihe. Damit werden aber auch dann keine anderen Nutzerdaten abgefragt, außer Benutzernummer und Password...

    Wenn das Bibliothekssystem nicht erreichbar ist, dann gibt es eben diesen Cache. Aber je nach System kann das eben sein, dass eben die Zugriffswege unterschiedlich sind. Bei uns läuft der Zugriff definitiv nicht über den Onlinekatalog sondern eben über diese E-Medien-Schnittstelle.


    D.h. euer System vor Ort läuft 24/7?

    Die Server der Stadt laufen natürlich rund um die Uhr, die PCs in der Bibliothek nicht. Die Rechner greifen direkt auf den Server zu. Und wie gesagt der Online-Katalog und die Onleihe nutzen die gleiche Schnittstelle um auf die Datenbank vom Bibliothekssystem zuzugreifen. Daher ist es bei unserem System unproblematisch wenn die Oberfläche bzw. der Server vom Online-Katalog nicht geht, die Onleihe geht trotzdem. Weil unser Online-Katalog hat in letzter Zeit öfters nen Hänger gehabt, die Onleihe war davon nicht betroffen und ich hab es mir im Handbuch auch extra nochmal angeschaut, dass es bei uns definitiv voneinander unabhängig ist.

  • Hallo zusammen,


    dass bei vielen Bibliotheken als Passwort das Geburtsdatum eingetragen ist, liegt bei den Bibliotheken und den Software-Häusern, die deren Schnittstellen anbieten.


    Die Software-Häuser müssen dies zwar umsetzen, die Anfragen kommen jedoch von den Bibliotheken - die dann auch die Kosten tragen.

    Hier findet nach und nach schon ein Umdenken statt.


    Welche Daten bei der Bibliothek Frankfurt als Passwort angegeben werden müssen, ist auf der Anmeldeseite - anders als bei manch anderen Bibliotheken - nicht angegeben. Laut der Bibliothek wurde bereits vor einiger Zeit aufgefordert, das Passwort zu ändern - möglich ist es also.


    Die Hessen-Onleihe kann jedenfalls weiterhin von den Frankfurtern genutzt werden. Ich sehe das als angenehmes Feature!


    Die "Frankfurter" sind dran.

    Alle (weiteren) Fragen dazu, kann euch aber ausschließlich die Frankfurter Bibliothek beantworten.


    Freundliche Grüße

    divibib-Support

  • Laut der Bibliothek wurde bereits vor einiger Zeit aufgefordert, das Passwort zu ändern - möglich ist es also.

    Also, ich kann mich nicht erinnern. Allerdings hat man mir nun geschrieben, dass ich persönlich vorbeikommen und das Passwort ändern lassen könne. Etwas umständlich – aber immerhin. Es scheint neuerdings also tatsächlich möglich zu sein.


    Okay, divibib ist unschuldig. Vielleicht hätten sie darauf bestehen können, dass deren Kunden (die Bibliotheken) für sichere Passwörter sorgen. Aber geschenkt. Wir alle haben uns doch darüber gewundert, dass als Passwort (bei den meisten Bibliotheken) das Geburtsdatum der Nutzer verwendet wurde. Aber wer hat das denn wirklich moniert? Ich auch nicht:(.


    Ich stelle mir vor, dass ein Passwort als Folge zufälliger Zeichen generiert wird, oder der Nutzer sich eines zusammenstellt, wobei allerdings einige Bedingungen (Verwendung auch von Sonderzeichen und Ziffern) zu beachten sind. Ein Geburtsdatum könnte bestenfalls als Initialkennwort dienen, das nach spätestens 1 oder 2 Tagen wieder gesperrt wird, wenn der Nutzer bis dahin kein gescheites Passwort ausstellt. Und die Passwörter müssten verschlüsselt abgespeichert werden.


    Und der Anbieter, der weniger bietet, sollte von seinen Usern auf die Finger bekommen. Denn er spielt unverantwortlich mit deren Sicherheit und Wohlbefinden. Also beschwert euch bei euren Heimatbibliotheken, fallt ihnen auf die Nerven, bis sie dafür Sorge tragen, dass gescheite Passwörter möglich – oder besser obligatorisch – sind! Denn ihr seid im Zweifel die Leittragenden von Identitätsdiebstahl und Spamming nach einem Hackerangriff!


    Und auch die divibib selbst kann mehr tun: Auch wenn sie nicht selbst unmittelbar für die Sicherheitsmängel bei ihren Kunden verantwortlich ist, wird sie doch niemand daran hindern, Ihren Kunden die Einhaltung minimaler Standards nahe zu legen.

  • Apropros ID: Wer hat sich eigentlich das mit dem Geburtsdatum ausgedacht? Wir haben 2018.

    Könnte auch ein Zugeständnis an die Nutzer sein. Das eigene Geburtsdatum können sich alle merken. Fremde Geburtsdaten ink. Jahr kennt man oft nicht mal von der erweiterten Familie.


    Ingo  

    Welcher Schaden kann mir entstehen, wenn jemand mein Kennwort in der Onleihe kennt und sich damit unberechtigt Zugang verschafft?

  • Und auch die divibib selbst kann mehr tun: Auch wenn sie nicht selbst unmittelbar für die Sicherheitsmängel bei ihren Kunden verantwortlich ist, wird sie doch niemand daran hindern, Ihren Kunden die Einhaltung minimaler Standards nahe zu legen.

    Was wir wann wem schon alles "nahegelegt" haben oder die Kommunikation im Dreieck Bibliothek, Software-Haus und divibib ganz allgemein gehört sicher nicht hierhin.


    Selbstverständlich darf sich jeder interessierte Nutzer an die Bibliotheken und Software-Häuser wenden. Die Bibliotheken geben gerne Auskunft und auch die jeweiligen Software-Anbieter sind über den genutzten OPAC sicher zügig recherchierbar.


    Hier besteht einfach kein Informationsbedarf seitens der divibib, wenn es keine Änderungen bei den beiden o.g. Parteien gibt.

    Zu allem weiteren können euch wirklich nur diese auch Auskunft geben.


    Freundliche Grüße

    divibib-Support

  • Ingo


    Welcher Schaden kann mir entstehen, wenn jemand mein Kennwort in der Onleihe kennt und sich damit unberechtigt Zugang verschafft?

    Im Prinzip keiner, außer dass jemand über dein Konto eMedien ausleihen kann, so dass du es eventuell nicht mehr kannst, weil das maximale Ausleihlimit erreicht ist.