Falla di sicurezza nel processo di autoprestito del servizio di Brianza Biblioteche

[olistik]

Il sistema di autoprestito, basandosi sulla lettura di un barcode che rappresenta il codice fiscale dell'utente, permette ad un utente malizioso di effettuare autoprestiti a nome di altri utenti, permettendo conseguentemente anche il furto di materiale bibliotecario.

Fino a che non viene implementata una soluzione al problema, il sistema di autoprestito dovrebbe essere sospeso all'interno di tutto il circuito gestito da BrianzaBiblioteche.

[olistik]

2016-12-08 Segnalazione spedita a Pieraldo Lietti (pieraldo.lietti@brianzabiblioteche.it) di Brianza Biblioteche con l'ufficio URP del Comune di Desio (urp@comune.desio.mb.it) in copia conoscenza.

La contatto per due questioni:

1. il sistema di autoprestito, basandosi sulla lettura di un barcode che rappresenta il codice fiscale dell'utente, permette ad un utente malizioso di effettuare autoprestiti a nome di altri utenti, permettendo conseguentemente anche il furto di materiale bibliotecario. A riguardo posso suggerirvi alcune opzioni per mitigare e risolvere il problema.
2. navigando sul portale di Brianza Biblioteche non riscontro un'informativa sulla Privacy e vorrei sapere dove posso trovare il materiale compatibile con gli adempimenti di legge.

2017-01-05 Inoltro della segnalazione anche alla Biblioteca di Desio (biblioteca@comune.desio.mb.it) dopo aver notificato personalmente il fatto con il responsabile.

2017-01-17 Risposta di Pieraldo Letti:

Le rispondo sul secondo punto (per il primo in questi mesi stiamo lavorando alla sostituzione dei software di gestione dei servizi bibliotecari).

2017-01-17 Mia risposta:

Può darmi un'idea delle tempistiche di sostituzione del software? Data la natura del problema di sicurezza ritengo sia necessario disabilitare la funzionalità di autoprestito fino a che tale sostituzione non sarà completata.

In assenza di una tempestiva notifica di messa in atto di una soluzione ad entrambi i problemi effettuerò una "full-disclosure".

2017-01-19 Data la "non-risposta" e l'assenza di evoluzioni lato Brianza Biblioteche proseguo con la full-disclosure.

[olistik]

2017-01-19 Pubblicato il seguente post nella pagina Facebook "Sei di Desio se.."

https://www.facebook.com/groups/823777737638221/permalink/1688934781122508/

Il sistema di autoprestito della biblioteca permette a chiunque di rubare libri a nome del sindaco (o di chiunque altro).

Il problema affligge anche tutte le biblioteche che permettono di effettuare l'autoprestito tramite i totem.

Qui i dettagli: https://github.com/open-comune/desio/issues/48

Ho notificato questo problema a Brianza Biblioteche lo scorso 8 Dicembre e sono andato a notificarlo personalmente anche ai responsabili della biblioteca di Desio.

L'ufficio URP del Comune di Desio è stato messo in copia.

Sarebbe necessario sospendere l'autoprestito fino a che tale processo non viene aggiornato ma ad oggi BrianzaBiblioteche reputa di non dover agire in tal senso e anzi non mi ha fornito delle tempistiche di aggiornamento di tale processo.

Come funziona?

Un utente malizioso può recuperare alcune informazioni non troppo sensibili da un utente "vittima", come per esempio Roberto Corti​

http://comune.desio.mb.it/servizi/menu/dinamica.aspx?idArea=8882&idCat=16559&ID=16559&TipoElemento=categoria

Cognome: Corti Nome: Roberto Data di nascita: 1971-09-06 Sesso: Maschile Comune di nascita: Desio

Ottiene il suo codice fiscale: http://www.codicefiscale.com/

CRTRRT71P06D286R

E con questo testo può ottenere anche il relativo codice a barre, con codifica "Code 39" (come indicato nella pagina Wikipedia https://it.wikipedia.org/wiki/Tessera_sanitaria#Il_codice_a_barre), attraverso un servizio come questo:

https://www.barcodesinc.com/generator/index.php

Ottenendo l'immagine allegata.

Con questa immagine, su smartphone o anche solo stampandola su un pezzo di carta, può quindi andare in biblioteca, prendere i libri che vuole rubare, andare al totem di autoprestito, "autenticarsi" mostrando il codice a barre della vittima e uscire.

GG

[olistik]

2017-01-19 Dalla Bilbioteca di Desio:

Oggi pomeriggio abbiamo provveduto a sospendere il servizio di autoprestito, in attesa di soluzioni tecniche che possano ovviare al problema sollevato. Inutile sottolineare come ciò abbia creato un disservizio agli utenti e un carico di lavoro aggiuntivo ai bibliotecari. In merito alle soluzioni da adottare e alla tempistica mi riservo di aggiornarLa dopo gli incontri con la Direzione di BrianzaBiblioteche, con la società che gestisce l'applicativo, con la Dirigenza dell'Area e con l'Assessore alla cultura. Distinti saluti. Il Direttore della biblioteca civica: Manlio Magni

Mia risposta:

Buonasera,

On 19/01/2017 17:04, biblioteca wrote: | Buongiorno a Lei Oggi pomeriggio abbiamo provveduto a sospendere il | servizio di autoprestito, in attesa di soluzioni tecniche che | possano ovviare al problema sollevato.

Ne sono sinceramente contento.

| Inutile sottolineare come ciò abbia creato un disservizio agli | utenti e un carico di lavoro aggiuntivo ai bibliotecari.

Concordo con lei, è inutile sottolinearlo.

È altresì inutile sottolineare la necessità di creazione di questo disservizio per rendere nullo il problema potenziale derivante dallo sfruttamento della falla, come anche il fatto che si sarebbe potuto evitare fin dal principio grazie ad una semplice accortezza in fase di progettazione. Non servono abilità informatiche particolari, solo della banale logica, per capire che un sistema di autenticazione non può basarsi su informazioni pubblicamente reperibili come il codice fiscale.

| In merito alle soluzioni da adottare e alla tempistica mi riservo | di aggiornarLa dopo gli incontri con la Direzione di | BrianzaBiblioteche, con la società che gestisce l'applicativo, con | la Dirigenza dell'Area e con l'Assessore alla cultura.

La ringrazio e auguro a tutti voi, sinceramente, di tornare al più presto a poter erogare l'utile servizio di auto prestito.

Spero inoltre che questo episodio possa servire a migliorare la gestione della comunicazione di Brianza Biblioteche, soprattutto in merito alle tematiche inerenti la sicurezza.

Infine, colgo l'occasione per ricordarvi, come ho già fatto nella precedente comunicazione, che ci sono obblighi di legge che impongono la presenza di una pagina web contenente la Privacy Policy, relativa ad ogni servizio erogato da Brianza Biblioteche. Data l'importanza che tale documento ha per gli utenti del servizi, spero che anche questo sia materia di discussione del vostro prossimo incontro, che esso avvenga al più presto e che sia fornita tempestivamente una stima di tempo di una sua pubblicazione, in modo da evitare il ripetersi di un'escalation simile a quella avvenuta per il discorso dell'auto prestito.

Saluti