För en dryg månad sedan avslöjades att mjukvarugiganten Adobe hade blivit ägda av hackare. Bland annat kom de över lösenord till uppemot 150 miljoner användare.
Det är förstås en skandal att Adobe lagrade lösenorden utan att kryptera dem ordentligt. Men skandalen stannar inte där, utan fortsätter i andra och tredje ledet. Faktum är att den även inbegriper flertalet folkbibliotek i Sverige.
Sedan många år erbjuder nämligen biblioteken tillgång till e-böcker via företaget Elib. Villkoren för detta skärskådade jag i min bok Boken & Biblioteket (2011). Bland annat kritiserade jag just hur bibliotekens verksamhet förlitar sig på Adobe:
För att läsa den krypterade e-boken behöver du ladda hem programmet Adobe Digital Editions, som finns tillgängligt för Microsoft Windows och Mac OS. Om du använder ett annat operativsystem – exempelvis någon variant av Linux – förvägras du möjligheten att ”låna” e-böcker från svenska bibliotek.
Adobe Digital Editions är gratis, men förutsätter att du registrerar dig hos det amerikanska företaget Adobe. Förutom att godkänna att Adobe lagrar dina personuppgifter samt data om dina läsvanor måste du intyga att du är över 13 år. Därefter går det smidigt att “låna” en e-bok.
Alla som någon gång har “lånat” en e-bok från sitt lokala bibliotek har alltså registrerat sig hos Adobe med ett lösenord – som nu är på vift. Det är rätt allvarligt, för många av dessa lösenord har även använts på andra sajter.
Vad gör då biblioteken? Och vad gör Elib?
Ingenting. Såvitt jag vet har inget enda bibliotek försökt att upplysa sina användare om att deras lösenord kan ha blivit avslöjade. Däremot fortsätter de att uppmana dem att registrera sig där.
Ännu mer anmärkningsvärt är tystnaden från Elib – som annars är synnerligen aktiva på sin blogg och på Twitter.
Under helgen kom uppgifter om att 400000 svenska lösenord, som tagits från Adobes databas, nu sprids på nätet. Kommer detta få Elib att bryta tystnaden? Kommer det få biblioteken att bryta med Adobe?
Vilka andra företag och myndigheter i Sverige har förmått sina användare att registrera sig hos Adobe? Hur har de hanterat situationen?
Om du vill veta om ditt eget lösenord finns med bland de som nu sprids, finns ett enkelt sätt att kolla saken.
Uppdatering: Efter att detta inlägg publicerades så gjorde Elib en varnande bloggpost, precis som efterlystes här.
Johan Greiff på Elib ställer även en intressant fråga: “ur säkerhetsperspektiv, är det verkligen klokt att testa (och uppmana att testa) sin adress?”
Som så mycket annat, kokar även detta ner till en fråga om tillit. Jag gjorde bedömningen att adobe.cynic.al förefaller ha en trovärdig avsändare, samt att det inte fanns någon allvarlig risk med att skicka sin e-postadress dit för prövning. Någon annan kanske vill invända mot detta?
45 kommentarer ↓
En bra fråga som egentligen är större då alltfler samhällsfunktioner glider ut mot privata företag. Adobe har haft standardläsare för PDF och Flash och vill givetvis ha det på andra områden med. Ett annat exempel är universitet som fasar ut mail, docs och kontohantering till Google. Kommuner som bygger sin IT-infrastruktur kring Apple. Etc.
Visst, det är billigare att lägga ut det på ett företag än att utveckla saker själv men beroendesituationen blir både vansklig och farlig. Ett inte helt avlägset scenario skulle kunna vara att Google Books ersätter flertalet bibliotekssystem om någon kostnadsbesparande effektivitetskonsult får den idén.
Jag jobbar på Göteborgs stadsbibliotek och vi gick ut med info till våra låntagare om att de bör byta lösenord när detta uppdagades och det var fler bibliotek som fick ut med denna information till sina besökare.
Så länge som Elibs e-böcker är skyddade med den typen av DRM-skydd som de har idag har vi på biblioteken inte så mycket val när det gäller Adobe. Vi måste hänvisa våra besökare till att registera sig där för att kunna låna våra e-böcker.
Elin: Bra att ni gick ut med info. Det gjorde t.ex. inte Stockholms stadsbibliotek.
Biblioteken är inte tvingade. De väljer själva om de vill tillhandahålla Elibs e-böcker eller inte. Det finns absolut inget som säger att dessa skulle vara en ofrånkomlig del av utbudet på ett folkbibliotek.
Jag håller absolut med om att vi är för okritiska i den här frågan, och att vi borde diskutera den mer på biblioteken och ta ett aktivt beslut om vi ska erbjuda e-böcker på de villkoren.
Men jag tycker, som Elin, att du är lite orättvis när du skriver att inget bibliotek gått ut med upplysning till sina användare. När jag googlar på orden adobe byt lösenord bibliotek får jag bara på första träffsidan upp sex olika bibliotek som ger den informationen, bland annat vi på Minabibliotek.se. Så det är ändå en del ;)
Som medvetet självvalt marginaliserad kan jag bara säga en sak: Good riddance to bad rubbish.
Hoppas detta blir en tankeställare som gör att bibliotekens huvudmän, kommunerna, omprövar anslagsfördelningen till biblioteken.
Självklart ska biblioteken informera om detta, vilket också gjorts till viss del. Men i slutänden signar man ju upp sig med en egen e-postadress hos Adobe, och (gissar jag) godkänner en ToS eller liknande själv, och därmed blir man informerad av Adobe om vilka säkerhetsåtgärder man måste vidta (i alla fall blev jag kontaktad).
Elib är den i särklass största leverantören av e-böcker och biblioteken följer den tekniska spec. de har satt upp. Biblioteken har inte “valt” Adobe, de har valt att möta ett behov från deras uppdragsgivare – låntagarna – att kunna läsa böcker digitalt. Du skriver att biblioteken inte är tvingade till Elib. Ta del av valfritt biblioteks utlåningsstatistik så kommer du se att lånen av e-böcker har ökat läsandet. Ska vi alltså motarbeta våra uppdragsgivare och därigenom minska läsandet för att inte Adobe ska användas?
De flesta bibliotek har också gått ut med information om hackningen. Sök själv i valfri browser.
Rob: Det stämmer inte riktigt att biblioteken skrev avtal med Elib för att möta en befintlig efterfrågan. Om jag minns rätt inleddes dessa samarbeten redan 2001 och under väldigt många år fanns det en väldigt liten efterfrågan. Sen kom Kindle (med efterföljare) och strax därefter Ipad (med efterföljare), vilket förändrade läget och fick efterfrågan att skjuta i höjden. Det bör dock också nämnas att biblioteken själva har bedrivit mycket ihärdiga kampanjer för att marknadsföra e-böckerna och Elib. Stockholms stadsbibliotek har rentav bedrivit reklamkampanjer för Apple, utan att ens ta betalt (jag kritiserade detta i Biblioteket).
Biblioteken har som uppdrag att öka läsandet, men det är knappast deras enda uppdrag. De ska även bredda läsandet i breda befolkningsgrupper, främja läsning av kvalitativ litteratur, satsa särskilt på unga och förhålla sig till vissa demokratiska grundprinciper. Hur allt detta förhåller sig till Adobe är, för att uttrycka sig försiktigt, en öppen fråga. Betänk att det är en ganska liten grupp som står för väldigt många “lån” av e-böcker. Betänk också att Adobe har en åldersgräns på 13 år samt att varje enskild sidbläddring övervakas och loggas (dvs görs tillgänglig för NSA).
Bara för att någonting utgör “läsning” betyder det inte att bibliotek ska betala för det. Tillhandahåller biblioteken även Aftonbladet Plus?
Fast det stämmer inte riktigt att man måste skapa ett konto hos Adobe för att läsa lånade e-böcker. Nöjer man sig med att läsa i digital editions behövs ingen registrering. Vill man däremot läsa i telefon/platta så behövs det ett Adobe ID.
Aftonbladet Plus vet jag inte om något bibliotek erbjuder. Däremot är det flera som erbjuder PressReader där man kan ladda ner digitaliserade dagstidningar. Detta trots att den fysiska tidningen också finns på biblioteket.
“Vårt val stod mellan att skapa en eget system där vi kan tidsbegränsa lånen av e-böcker – annars är det ju inget lån – eller använda oss av den mest spridda lösningen från det största dokumentföretaget i världen. Det var inte så konstigt att vi valde Adobe i det läget. Självklart trodde vi att de skulle ha koll på säkerheten.
Samtidigt konstaterar Johan Greiff att använda en lösning där svenska låntagare registrerar sig hos ett amerikanskt företag.
– Vi har tittat på alternativ och funderar på att använda oss av en strömmad tjänst i framtiden.”
http://www.idg.se/2.1085/1.533110/adobehacket–alla-som-lanar-e-bocker-drabbade
Fick inte riktigt ihop de sista meningarna, vad menar han med “strömmad”?
Strömmande är inte en bra utveckling. Det betyder att du måste vara uppkopplad för att kunna läsa en e-bok, du läser i molnet. Universitet/Högskolor använder sig av det.
Och det här med tidsbegränsat förstår jag inte. Så är det redan idag. Och man lånar ingenting utan man kopierar något som försvinner efter 28 dagar.
När började Patriot Act gälla? 2002? Är det inte väldigt naivt av Elib och biblioteken att ha kvar ett system som kräver att användarinformation sparas hos ett amerikanskt företag när de har vetat i mer än ett decennium att detta företag måste lämna ut uppgifterna till amerikanska myndigheter och inte ens får tala om att de har gjort det? Information om vilka böcker som folk läser kan ju vara väldigt känslig.
Vi vet ju också att USA gärna lämnar ut stora mängder rådata till sina allierade, som t.ex. Israel. Har Elib några garantier för att t.ex. Israel inte sitter och kollar vilka böcker som svenskar med arabiska namn läser?