Indiase visumboer lekt paspoort, telefoon en emailgegevens

Door cyberstalker op maandag 10 augustus 2015 19:07 - Reacties (68)
Categorie: -, Views: 8.932

Een aantal maanden geleden viel het me bij het aanvragen van een visum voor India op dat BLS India, de visumboer die door de ambassade is aangewezen aanvragen te verwerken, hele simpele, oplopende nummers gebruikt in de URL's voor hun afspraakbevestigingen.

Op de pagina's kun je behoorlijk wat persoonlijke informatie terugvinden. Niet alleen staat daar altijd een telefoonnummer en emailadres, ook staat daar danwel een paspoortnummer danwel een 'Web File No.'. Een paspoortnummer in combinatie met een naam en contactgegegevens is natuurlijk al vreselijk als dat uitlekt, maar met een 'Web File No.' kun je zo mogelijk nog veel meer.

Via dit nummer is het - indien je het paspoortnummer erbij vindt - mogelijk om de volledige gegevens van een visumaanvraag in te zien. Daar vindt je echt van alles, geboortedatum, adres, geboorteplaats, gegevens over de ouders. Het houdt niet op. Deze gegevens zijn natuurlijk niet moeilijk te achterhalen als je al zoveel informatie hebt. Gewoon even opbellen en je voordoen als een medewerker van BLS en mensen zullen je zeer waarschijnlijk die gegevens zo doorgeven.

Ik heb dit bedrijf meerdere malen benaderd, zowel per e-mail, telefonisch als in persoon. Het maakt ze blijkbaar niets uit aangezien ze er in maanden helemaal niets aan hebben gedaan (ze hebben in Nederland dan ook een monopoliepositie, aangezien de ambassade enkel met hen zakendoet).

Voorbeeld van een testafspraak die ik net even heb geplaatst: Afspraak PSA29880.

Speel je wat met de nummers in de app_no variabele dan zul je zien dat ongeveer 1 op de 5 nummers geldig is en je met een simpel scriptje zo een heleboel informatie kunt verzamelen. Als je ze ook nog nabelt ("Ja hallo mevrouw X, u spreekt met Y van BLS India, u heeft net een afspraak bij ons gemaakt maar we missen helaas nog uw paspoortnummer...") dan heb je werkelijk waar zo'n beetje alle informatie die je maar kunt wensen over iemand.

Update: naar aanleiding van dit artikel is het algoritme nu aangepast. Ze gebruiken nog steeds dezelfde, oplopende identifiers, maar nu gooien ze er een base64_encode overheen en strippen de = weg.

Volgende: Lekker fietsertje pesten: de gemeente Amsterdam 11-'13 Lekker fietsertje pesten: de gemeente Amsterdam

Reacties


Door Tweakers user Donool, maandag 10 augustus 2015 19:13

Wow, das wel heel slecht geregeld zeg!

Door Tweakers user vanaalten, maandag 10 augustus 2015 19:25

Oei, slecht... toch hoop ik ook bij de ambassade zelf gemeldt?

Door Tweakers user TommieW, maandag 10 augustus 2015 19:32

Man, man, man. Dit is wel behoorlijk zorgwekkend. Nu is het de vraag wat eerder is: dat ze dit opgelost hebben, of dat hier op grote schaal misbruik van wordt gemaakt.

Door Tweakers user Napsju, maandag 10 augustus 2015 19:51

Gelukkig kunnen wij Nederlanders sinds kort een toeristenvisum kopen bij aankomst in India. Voor andere categorieŽn dien je uiteraard nog wel bij de ambassade een visum aan de vragen.

Door Tweakers user Palmolive, maandag 10 augustus 2015 19:56

Misschien naar de media gaan hiermee? Dan fixen ze het wel denk ik.

Door Tweakers user cyberstalker, maandag 10 augustus 2015 20:16

TommieW schreef op maandag 10 augustus 2015 @ 19:32:
Man, man, man. Dit is wel behoorlijk zorgwekkend. Nu is het de vraag wat eerder is: dat ze dit opgelost hebben, of dat hier op grote schaal misbruik van wordt gemaakt.
Ik denk niet dat ze het snel zullen oplossen. Het lijkt ze gewoon niet te interesseren en het ligt ook zo voor de hand dat ik me eigenlijk niet kan voorstellen dat er geen misbruik van wordt gemaakt.

Ik bedoel, als jij op een webpagina persoonlijke informatie ziet en je ziet dat de enige variabele in de URI een simpel nummertje lijkt te zijn dan zal bij iedereen die enigszins handig is het dubbeltje vrij snel vallen me dunkt.

Door Tweakers user Huaw, maandag 10 augustus 2015 20:20

Wat kun je met dat web file no. allemaal doen dan?

Door Tweakers user cyberstalker, maandag 10 augustus 2015 20:26

Huaw schreef op maandag 10 augustus 2015 @ 20:20:
Wat kun je met dat web file no. allemaal doen dan?
Met wat extra informatie kun je de volledige aanvraag inzien op https://indianvisaonline.gov.in/visa/Reprint.jsp

Je moet echt idioot veel gegevens invullen. Zie zelf maar op https://indianvisaonline.gov.in/visa/info1.jsp. Met die gegevens kun je behoorlijk wat.

Door Tweakers user cyberstalker, maandag 10 augustus 2015 21:05

Iemand stuurt mij net een DM dat ze blijkbaar ook nog openstaan voor SQL injection. Dat had ik me in eerste niet eens gerealiseerd. De mogelijkheden tot gegevens binnenhalen is bijna eindeloos.

Ik weet niet of ze ook de vingerafdrukken die ze scannen in dezelfde database bewaren (dat hoop ik niet), want die zouden dan ook te downloaden zijn.

Door Tweakers user WoLFjuh, maandag 10 augustus 2015 21:14

Dus je kiest er voor om dit publiek te disclosen... jammer. Ik geloof niet dat je alles hebt gedaan om dit op een fatsoenlijke manier op te lossen. Hier door speel je hoog spel met persoonsgegvens van vele mensen.

Het is een bedrijf met een Nederlands KVK nummer, en dus ook aansprakelijk voor de zaken die ze in Nederland doen. Wat vond het College Bescherming Persoonsgegevens er van?

Ik stel voor dat je zo snel mogelijk je verhaal aanpast zodat je duidelijk maakt wat je hebt gevonden maar het vooral niet makkelijk maakt om het op nieuw te late vinden voor anderen. Daarna goed je best doet om instanties hier over in te lichten, eventueel belangenbehartigers zoals bits of freedom, of andere clubs. Die pakken het graag van je over als je geen zin hebt om dit netjes op te lossen.

Wat je nu doet is vooral identieitsroof vereenvoudigen.

[Reactie gewijzigd op maandag 10 augustus 2015 21:14]


Door Tweakers user Evianon, maandag 10 augustus 2015 21:31

Dit is echt zeer zorgwekkend. Ik weet niet of het verstandig was om dit online te zetten.

Het is echt belangrijk dat dit zo snel mogelijk wordt opgelost, want dit is een goudmijn voor identiteitsfraudeurs. Misschien kun je contact opnemen met media die hier dan hopelijk achteraan gaan? Waarschijnlijk is het dan spontaan in no-time opgelost. NOS of iets dergelijks?

Door Tweakers user cyberstalker, maandag 10 augustus 2015 21:37

WoLFjuh schreef op maandag 10 augustus 2015 @ 21:14:
Dus je kiest er voor om dit publiek te disclosen... jammer. Ik geloof niet dat je alles hebt gedaan om dit op een fatsoenlijke manier op te lossen. Hier door speel je hoog spel met persoonsgegvens van vele mensen.

Het is een bedrijf met een Nederlands KVK nummer, en dus ook aansprakelijk voor de zaken die ze in Nederland doen. Wat vond het College Bescherming Persoonsgegevens er van?
CBP vond er niets van. In ieder geval niet iets wat ze aan mij teruggekoppeld hebben. Dat is ook niet anders dan ik van ze had verwacht. Die koppelen eigenlijk nooit iets terug. Misschien doen ze er wel echt iets mee, dat weet ik niet.

Daarnaast, het is zo ontzettend makkelijk en voor de hand liggend deze fout. Ik heb er niet naar gezocht. Simpelweg een visum aanvragen en je ziet het eigenlijk direct al aan de URI.

Ik heb echt op veel manieren geprobeerd het ze te laten oplossen. Meerdere malen gemaild, gebeld, in persoon langsgegaan en uitgelegd. Ik heb contact gehad met tweakers, bericht gestuurd naar CBP. Er gebeurt gewoon niets.

Met zo'n eenvoudig te vinden lek kan ik me niet anders voorstellen dan dat er al tijden door meerdere misbruik van wordt gemaakt. Beter dat dat nu openbaar is zodat het eindelijk eens opgelost kan worden, anders sleept dit gewoon jaren door.

Door Tweakers user thetrueman2, maandag 10 augustus 2015 21:39

Zeer zorgwekkend. Mijn moeder reist regelmatig op en neer naar India waarbij ze ook (inderdaad verplicht) via deze toko haar aanvraag moet indienen. De ambassade handelt de aanvraag dan verder af.

Neem zsm contact op met het CBP en/of een grote krant. Dat een bedrijf dit nog mag doen is in een woord alleen maar schandalig te noemen, zeker als er geen veilig alternatief voor is.

In de tussentijd, haal deze post offline of pas het aan zodat de URL niet direct zichtbaar is. Je speelt met erg veel persoonsgegevens, en alleen mensen die geen alternatief hebben worden erdoor geraakt als er misbruik van gemaakt wordt.

[Reactie gewijzigd op maandag 10 augustus 2015 21:39]


Door Tweakers user TommyboyNL, maandag 10 augustus 2015 21:57

Je kan ook enkele honderden e-mail adressen minen op die pagina's, en die mensen allemaal een mailtje sturen dat BLS hun gegevens te grabbel gooit. Wellicht dat die mensen dan gaan klagen bij BLS, en ze dan wel actie onderenemen.
Het kan natuurlijk ook backfiren waarna je aangeklaagd wordt voor hacken/spammen...

Door Tweakers user deathgrunt, maandag 10 augustus 2015 22:00

...we weten nu in ieder geval dat Marieke, werkzaam bij Elsevier, op 18 augustus 2015 een afspraak heeft om af te kunnen reizen naar India....

Met een simpel script begin je de variabele in de URL bij PSA00000 en hoog je die op tot PSA99999. Alle geldige downloads (kwestie van CURL er overheen gooien) filter je er uit en je hebt binnen een kwartier honderden visum-aanvragen.

...en dan weet ik nog niet eens iets van 'hacken' of programmeren...

Door Tweakers user deathgrunt, maandag 10 augustus 2015 22:02

Volgens mij lijkt de site er trouwens uit te liggen?

https://blsivac.com/nld/ gaat naar Google...

http://blsivac.com/ bestaat niet...


Door Tweakers user Erwin, maandag 10 augustus 2015 22:09

Lekker verhaal. Goed dat je het aan de kaak stelt :)

Door Tweakers user masauri, maandag 10 augustus 2015 22:27

Goed bezig, er was toch de mogelijkheid om anoniem zo'n dingen in te dienen via oa. tweakers?
Waarom word het dan niet gewoon opgepakt als er publiekelijk melding van word gemaakt?
Dit kan toch gewoon niet voor zo'n instantie!

Goed bezig cyberstalker!

Door Tweakers user deathgrunt, maandag 10 augustus 2015 22:48

masauri schreef op maandag 10 augustus 2015 @ 22:27:
Goed bezig, er was toch de mogelijkheid om anoniem zo'n dingen in te dienen via oa. tweakers?
Klopt, plan: Lekken naar Tweakers via Publeaks is nu mogelijk

Dat was tijdens de hoogtijdagen van Assange en Snowden en Tweakers sprong daar maar wat graag en gretig op in... nog voordat duidelijk werd dat bovengenoemde heren nooit iets inhoudelijks hebben gepubliceerd, behalve hun eigen ego en feitelijk colporteurs van hun eigen land bleken te zijn.

Door Tweakers user Xeonfan, maandag 10 augustus 2015 23:46

Misschien was het handiger geweest als je niet precies uitlegt hoe het zit.
Als er nu iemand tussen zit die kwaad wil, heb jij de hele methode even uitgelegd. Dat vind ik net zo slecht als de beveiliging van de site. Jij helpt nu gewoon de boel helemaal open te leggen. Snap wel dat je het doet, maar nee, niet op deze manier.

Door Tweakers user NLKornolio, maandag 10 augustus 2015 23:59

Doe anders aan buitenlandse zaken melden

Door Tweakers user i-chat, dinsdag 11 augustus 2015 07:29

wow - en tweakers.net heeft dit niet eens op de FP staan, laat toch maar weer zien hoe laks ze zijn geworden in amsterdam...

wel een beetje BS posten over games en ander nutteloos gelazer maar een serieuze post over de veiligheid van honderden zoniet duizende mensen tegen hackers en fraudeurs en oplichters ho maar....

Door Tweakers user -RetroX-, dinsdag 11 augustus 2015 07:44

Arnoud Engelfriet (ook actief op tweakers) al geÔnformeerd? http://www.arnoud.engelfriet.net/

Door Tweakers user [object Object], dinsdag 11 augustus 2015 07:47

Ik snap niet dat men na je melding geen stappen heeft ondernomen. Denken ze dat het geen kwaad kan? Wat was hun reactie?

Door Tweakers user [object Object], dinsdag 11 augustus 2015 08:26

Ik heb nog ff rondgepoked in de data, en vermoed dat een bedrijf met de naam proglogix (.com) het gemaakt heeft. Ik denk dit omdat nummer 5 de naam 'test56' heeft en het mailadres prologix bevat. (https://blsivac.com/nld/a...firmation.php?app_no=PSA5)

Misschien kunnen die helpen?

Door Tweakers user GigaDave56, dinsdag 11 augustus 2015 08:38

-RetroX- schreef op dinsdag 11 augustus 2015 @ 07:44:
Arnoud Engelfriet (ook actief op tweakers) al geÔnformeerd? http://www.arnoud.engelfriet.net/
Andere optie is misschien Brenno de Winter?

Door Tweakers user SeenD, dinsdag 11 augustus 2015 08:41

Ik vind dat Cyberstalker meer dan genoeg heeft gedaan. En to be honest nog veel te coulant heeft gewacht.
Chapeau voor het naar buiten brengen.

Dit soort troep mag niet voorkomen.

Het vertellen van hoe het moet is juist goed. Security through obscurity is per definitie slecht. De wachttijd na het melden van bugs of issues is over het algemeen 90 dagen.

Door Tweakers user Bart_GR, dinsdag 11 augustus 2015 08:54

Wellicht een idee om dit te melden via social media bij de ambassades in India? Wellicht via een PB o.i.d. Via social media zijn dit soort instaties beter bereikbaar dan via mail :)

Door Tweakers user cyberstalker, dinsdag 11 augustus 2015 09:01

Kingofthemall schreef op dinsdag 11 augustus 2015 @ 07:47:
Ik snap niet dat men na je melding geen stappen heeft ondernomen. Denken ze dat het geen kwaad kan? Wat was hun reactie?
Ah, jij gaat er vanuit dat ik een reactie heb mogen ontvangen. Dat was niet het geval. Op mijn mails is gewoonweg totaal niet genegeerd, ondanks dat ik daar best wat werk in heb gestoken (zowel in het Nederlands als in het Engels met duidelijke beschrijvingen van het probleem).

Bij het langsgaan zelf heb ik het ook uitgelegd. Daar wilden ze het eerst niet geloven en toen ze het eindelijk begrepen gingen ze er ook erg laconiek mee om. Het zou worden doorgegeven aan de verantwoordelijke personen, maar ook daar is niets van terechtgekomen.
Kingofthemall schreef op dinsdag 11 augustus 2015 @ 08:26:
Ik heb nog ff rondgepoked in de data, en vermoed dat een bedrijf met de naam proglogix (.com) het gemaakt heeft. Ik denk dit omdat nummer 5 de naam 'test56' heeft en het mailadres prologix bevat. (https://blsivac.com/nld/a...firmation.php?app_no=PSA5)

Misschien kunnen die helpen?
Dat is leuk gevonden, zo ver ben ik helemaal niet terug gaan kijken. Het is zeker aannemelijk dat zij de site hebben gemaakt aangezien dat een bedrijf in Delhi lijkt te zijn en gezien hun slogan ("Proud to be an Indian company") ligt het voor de hand dat zij de ontwikkeling aan een Indiaas bedrijf uitgeven.

Ik ga ook zeker contact met hen opnemen, ik hoop dat zij hier wel iets beter mee omgaan. Ik verwacht hier eerlijk gezegd niet zo veel van aangezien ik denk dat dit iets is waar zij zich totaal niet mee bezighouden.
Bart_GR schreef op dinsdag 11 augustus 2015 @ 08:54:
Wellicht een idee om dit te melden via social media bij de ambassades in India? Wellicht via een PB o.i.d. Via social media zijn dit soort instaties beter bereikbaar dan via mail :)
Dat is wellicht een idee. Ik heb zelf echter geen enkel social media account. Wellicht zou iemand anders (jij?) bereidt zijn hen een berichtje te sturen?

Door Tweakers user pimskie, dinsdag 11 augustus 2015 09:02

Heel bizar dit. En als ik het zo lees heeft cyberstalker inderdaad meer dan genoeg gedaan om het aan het licht te brengen. Als niemand wil luisteren kun je wel blijven roepen 'bel deze partij, bel die partij, etc'. De mensen die het moesten weten, wisten het (eerder dan wij).

Daarbij komt ook dat dit geen hack oid is. Gewoon een cijfer aanpassen in de URL.

Door Tweakers user Bart_GR, dinsdag 11 augustus 2015 09:07

Zojuist onderstaand PB verstuurd naar ambassades in India. --> https://www.facebook.com/dutchconsulatemumbai & https://www.facebook.com/NetherlandsinIndia

PB:

Goedendag, de visumverstrekker BLS Inda heeft alle paspoort gegevens zeer open opgeslagen. Zie link --> Cyber's blog: Indiase visumboer lekt paspoort, telefoon en emailgegevens , lijkt mij zeer onveilig en erg onprofessioneel. Het is momenteel erg gemakkelijk om afspraak gegevens (waar persoonlijke info in staat) op te vragen. Wellicht verstandig als er vanuit de ambassade(s) in Inda druk wordt gezet op deze visum verstrekker dat zij z.s.m. de afspraken anders gaan opslaan?

Door Tweakers user Napsju, dinsdag 11 augustus 2015 09:26

Bart_GR schreef op dinsdag 11 augustus 2015 @ 09:07:
Zojuist onderstaand PB verstuurd naar ambassades in India. -->
Inda?

Door Tweakers user Bart_GR, dinsdag 11 augustus 2015 09:33

Uh, ja? :-)

"Een aantal maanden geleden viel het me bij het aanvragen van een visum voor India op dat BLS India, de visumboer die door de ambassade is aangewezen aanvragen te verwerken, hele simpele, oplopende nummers gebruikt in de URL's voor hun afspraakbevestigingen."

Edit: oh, zie wat je nu bedoelt. Is idd een typo geweest, maar ik denk dat ze op de ambassades de naam wel zullen herken, ook met de typo er in.

[Reactie gewijzigd op dinsdag 11 augustus 2015 09:35]


Door Tweakers user Opinion, dinsdag 11 augustus 2015 10:30

Chapeau voor het naar buiten brengen van deze informatie. Wel heel vervelend voor de betreffende personen wiens gegevens toegankelijk zijn op deze manier.. Zou daar niet graag tussen staan.

Door Tweakers user sypie, dinsdag 11 augustus 2015 10:59

Kijk, als de daadwerkelijke reisdata er ook in staan dan wordt het mooi. Dank kan ik mijn schroevendraaier, breekijzer en bankpasje weer klaar leggen om ergens een bezoekje langs te brengen. Het is toch mooi dat deze gegevens op een blaadje worden gepresenteerd?

Door Tweakers user cyberstalker, dinsdag 11 augustus 2015 11:01

sypie schreef op dinsdag 11 augustus 2015 @ 10:59:
Kijk, als de daadwerkelijke reisdata er ook in staan dan wordt het mooi. Dank kan ik mijn schroevendraaier, breekijzer en bankpasje weer klaar leggen om ergens een bezoekje langs te brengen. Het is toch mooi dat deze gegevens op een blaadje worden gepresenteerd?
Die staan wel in de online visumaanvraag (waarvoor dus wel enige mate van social engineering nodig is), dan heb je alles, de vertrekdatum, de retourdatum, vluchtnummers.

Door Tweakers user _trickster_, dinsdag 11 augustus 2015 12:07

Ik denk zelfs een Mailtje naar RTL / NOS dat het wel opgepakt wordt door een nieuwszender,
en die hebben vaak ook wel de grotere capaciteit om dit bij de juiste partijen, al dan niet onder 'druk' van publicatie wat te kunnen laten gebeuren.

Door Tweakers user Kecin, dinsdag 11 augustus 2015 12:15

Ernstig dit hoor.
Dit is wel een nieuwsbericht op T.net waard lijkt me.

Door Tweakers user CFC-Mathijs, dinsdag 11 augustus 2015 12:48

Volgens mij heb ik hier maanden geleden al een keer een topic over gelezen van je op GoT. Erg jammer dat er niet op wordt gereageerd oid.

Door Tweakers user MrRobin, dinsdag 11 augustus 2015 13:14

Heb je het al gemeld bij het Nationaal CyberSecurity Centrum (NCSC)?

https://www.ncsc.nl/security

Zij lijken me wat responsiever (is dat een woord?) dan het CBP.

Door Tweakers user A Lurker, dinsdag 11 augustus 2015 15:26

WoLFjuh schreef op maandag 10 augustus 2015 @ 21:14:
Dus je kiest er voor om dit publiek te disclosen... jammer. Ik geloof niet dat je alles hebt gedaan om dit op een fatsoenlijke manier op te lossen. Hier door speel je hoog spel met persoonsgegvens van vele mensen.

....

Wat je nu doet is vooral identieitsroof vereenvoudigen.
Ik weet niet wat erger is. De implementatie van genoemde website of mensen die denken dat als we gewoon allemaal onze oogjes en mondjes dichtdoen, dat kwaadwillenden het dan niet door hebben en de verantwoordelijken het zsm oplossen, en dan eind goed al goed.

Voor een lastig lek dat wat een klein beetje druppelt waarvoor je volleerd hacker zou moeten zijn om het te kunnen verzinnen zou je zeker een punt hebben. Maar dit is een complete waterval voor iedereens blote oog zichtbaar die blijkbaar totaal niet gedicht gaat worden.

Aan de schandpaal ermee! Dat is in dit soort gevallen het enige wat helpt. Al is het alleen maar als waarschuwing voor toekomstige Visum-aanvragers.

[Reactie gewijzigd op dinsdag 11 augustus 2015 15:28]


Door Tweakers user Whatson, dinsdag 11 augustus 2015 16:03

Visa tussenbedrijfjes voor Vietnam doen dit ook hoor. Toen ik een visa nodig had werd dat ook in bulk behandeld omdat dat goedkoper is dan individiueel. Dus dan krijg je dit soort brieven toegestuurd via email:
http://i.sver.re/9wDc-Scr...08-11%20at%2015.53.23.png

Met namen, nationaliteit, geboortedatum, en paspoortnummer

Door Tweakers user SharpY, dinsdag 11 augustus 2015 16:51

Nice catch, ik moet zeggen dat ik het wel vaker zie, vooral bij kleinere webwinkels/bestelsites die met oplopende orderID's werken, maar een visumaanvraag pfff. Wellicht dat het goed is voor je blog als je een kleine edit doet met de acties die je zelf hebt doorlopen qua melden, dat verandert namelijk het beeld nogal (anders dan ik heb gemaild en ze reageren niet dus post ik het maar hier, waarna ik de comments heb gelezen en ik heel iets anders heb begrepen).

Door Tweakers user Belindo, dinsdag 11 augustus 2015 17:09

SharpY schreef op dinsdag 11 augustus 2015 @ 16:51:
Nice catch, ik moet zeggen dat ik het wel vaker zie, vooral bij kleinere webwinkels/bestelsites die met oplopende orderID's werken, maar een visumaanvraag pfff. Wellicht dat het goed is voor je blog als je een kleine edit doet met de acties die je zelf hebt doorlopen qua melden, dat verandert namelijk het beeld nogal (anders dan ik heb gemaild en ze reageren niet dus post ik het maar hier, waarna ik de comments heb gelezen en ik heel iets anders heb begrepen).
Er is op zich toch niets mis met oplopende nummers? Zodra mensen voor wie het nummer niet bedoeld is het ook niet kunnen openen. Dus gekoppeld aan een inlog bijvoorbeeld.

Door Tweakers user Robkazoe, dinsdag 11 augustus 2015 17:10

Je zou bijna een permanente DDOS aanval op dat domein gooien. Misschien niet helemaal legaal maar dit online laten staan kan meer kwaad dan een DDOS aanval.

Door Tweakers user SharpY, dinsdag 11 augustus 2015 17:51

Belindo schreef op dinsdag 11 augustus 2015 @ 17:09:
[...]

Er is op zich toch niets mis met oplopende nummers? Zodra mensen voor wie het nummer niet bedoeld is het ook niet kunnen openen. Dus gekoppeld aan een inlog bijvoorbeeld.
Dat ben ik geheel met je eens, alleen dat laatste ontbreekt nog wel eens - helemaal als er gebruik wordt gemaakt van externe systemen voor orderverwerking. En in die zin is het niet meer of minder werk om GUIDs te gebruiken en je haalt de gokfactor eruit. Sowieso zou altijd alle persoonlijke info/order info alleen maar zichtbaar mogen zijn achter een inlog.

Door Tweakers user cyberstalker, dinsdag 11 augustus 2015 18:11

SharpY schreef op dinsdag 11 augustus 2015 @ 17:51:
[...]


Dat ben ik geheel met je eens, alleen dat laatste ontbreekt nog wel eens - helemaal als er gebruik wordt gemaakt van externe systemen voor orderverwerking. En in die zin is het niet meer of minder werk om GUIDs te gebruiken en je haalt de gokfactor eruit. Sowieso zou altijd alle persoonlijke info/order info alleen maar zichtbaar mogen zijn achter een inlog.
Tja, zoals ik het heb voorgesteld in mijn communicatie naar hen toe zou zijn om een extra kolom toe te voegen met voor elke afspraak een unieke random hash (bijvoorbeeld een md5 over rand()). Die voeg je dan toe aan de URI en controleert in de backend of de correcte hash bij de correcte afspraak is gegeven.

Dan hoeven ze enkel de code voor het maken van de afspraak een klein beetje aan te passen en de code voor het printen van een afpsraak. Alles wat naar die tabel linkt kan dan gewoon blijven staan. Zoiets heb je in een uurtje gefixt en dat heb ik ze ook heel duidelijk uitgelegd.

Door Tweakers user Evianon, dinsdag 11 augustus 2015 20:50

A Lurker schreef op dinsdag 11 augustus 2015 @ 15:26:
[...]


Ik weet niet wat erger is. De implementatie van genoemde website of mensen die denken dat als we gewoon allemaal onze oogjes en mondjes dichtdoen, dat kwaadwillenden het dan niet door hebben en de verantwoordelijken het zsm oplossen, en dan eind goed al goed.
Je moet wel beseffen waar je het over hebt. Als je identiteit wordt gestolen, kan dat figuurlijk gezien echt het einde van je leven betekenen. Zoiets kan je tientallen jaren achtervolgen, van spontaan grote schulden hebben en al je bezittingen kwijtraken tot het veranderen van je eigen identiteit en verhuizen naar de andere kant van de aardbol aan toe.

Normaal houd ik ook niet van dingen verbergen, maar elke crimineel minder die hier van weet is meegenomen, juist omdat het zo'n extreme impact kan hebben op de levens van mensen die er verder niets aan kunnen doen. Uiteraard moet dit natuurlijk a.s.a.p. opgelost worden, maar de blog had erna gepost kunnen worden.

En als het bedrijf zelf niet wil luisteren had de ontdekker het hogerop kunnen zoeken, desnoods tot 100 verschillende instanties aan toe, maar ik heb niet helemaal het idee dat echt Šlles geprobeerd is voor deze blog werd gepost. Stel er zijn mensen wiens identiteit door middel van dit lek wordt gestolen en achteraf blijken de betreffende criminelen door deze post aan het trucje gekomen te zijn, dan denk ik dat de poster een vrij groot probleem heeft.

Door Tweakers user NLKornolio, dinsdag 11 augustus 2015 22:45

Het valt eigenlijk wel mee wat voor info er opstaat. Wel beschamend dat deze data er van minstens een jaar geleden nog opstaat. Zoek anders even een belangrijk persoon en zet die in de mail. Het begint bij 8 dus ongeveer 29000 man hun gegevens zijn te zien.

Maak anders een testcase om te zien of je reply krijgt.

[Reactie gewijzigd op dinsdag 11 augustus 2015 22:52]


Door Tweakers user A Lurker, woensdag 12 augustus 2015 00:44

Evianon schreef op dinsdag 11 augustus 2015 @ 20:50:
[...]
Je moet wel beseffen waar je het over hebt. Als je identiteit wordt gestolen, kan dat figuurlijk gezien echt het einde van je leven betekenen. Zoiets kan je tientallen jaren achtervolgen, van spontaan grote schulden hebben en al je bezittingen kwijtraken tot het veranderen van je eigen identiteit en verhuizen naar de andere kant van de aardbol aan toe.
Het gaat me om de naiviteit van sommige mensen over het niet moeten klokkenluiden van dit soort beveilgingsmisstanden, en jij denkt dat ik het probleem bagatelliseer? Nee, ik vind dat het probleem aangekaart moet worden omdat dit soort dingen onacceptabel zijn. Ben ook geen voorstander van security by obscurity, wellicht verschillen we daar dan ook van mening over.
Evianon schreef op dinsdag 11 augustus 2015 @ 20:50:
Stel er zijn mensen wiens identiteit door middel van dit lek wordt gestolen en achteraf blijken de betreffende criminelen door deze post aan het trucje gekomen te zijn, dan denk ik dat de poster een vrij groot probleem heeft.
Dat denk ik niet. Nogmaals, dit is geen rocket science over "hoe hack je instantie X", maar gewoon klokkenluiden van een totaal gebrek aan beveiliging van persoonlijke gegevens. De criminelen die echt iets met zulke data aan wil zijn over het algemeen niet your average "man met knuppel die een winkel berooft"-type, maar (enigszins) intelligente mensen met navenant netwerkje.

Door Tweakers user heintjeput, woensdag 12 augustus 2015 07:47

Ik ben bang dat het nog erger wordt dan het al is. Ze handelen niet alleen visa af voor Nederlanders, maar ik denk haast voor alle ambassades in alle landen. Als ik namelijk zoek op BLS India, dan krijg ik allerlei verschillende land extensies er achter. Ik heb in ieder geval een land - cijfer combinatie gevonden die ook werkte. Dus als je wilt kun je ook voor Australiers, MaleiŽrs, Zuid-Afrikanen etc aan de gang, misschien dat Nigeria zelfs ook wel kan.

Door Harm, woensdag 12 augustus 2015 08:15

Goed bezig!

Nu moet er wat mee gebeuren. Ik vraag me af of dit soort sub-overheden per definitie niet meer fouten maken. Ik bedoel, bij commerciŽle bedrijven is er sprake van sterke imagoschade... zo'n ambassade kan er mee weg komen.

Door Tweakers user Bart_GR, woensdag 12 augustus 2015 08:54

Overigens nog geen reactie vanuit ambasades gehad op de facebook berichten |:(

Door Tweakers user incaz, woensdag 12 augustus 2015 11:50

Tweetje naar Dimitri Tokmetzis (De Correspondent) en anders een Engelstalige versie naar de australier Troy Hunt wil misschien ook wel helpen ( http://www.troyhunt.com/ , behoorlijk actief op gebied van privacy, en met volgens mij ook meer contacten in Azie...)

Door Tweakers user onkl, woensdag 12 augustus 2015 12:07

Geef anders eens een seintje naar de buitenland-correspondenten India voor, bijv. de NOS (@joeri_boom) of grote kranten. Hun contactgegevens zullen, in de aard der dingen, ook wel in de BLS India dataset zitten en ze hebben daarmee, naast de nieuwswaarde, ook een persoonlijk motief om dit aan de kaak te willen stellen.

[Reactie gewijzigd op woensdag 12 augustus 2015 12:10]


Door Roeland, woensdag 12 augustus 2015 12:11

Net even met BLS en de ambassade aan de telefoon gezeten. Het blijkt dat de ambassade zelf de website voor BLS verschaft! Verder heeft er natuurlijk niemand enig idee wat er aan de hand is en dat die website niet veilig is.

Door Tweakers user DonJunior, woensdag 12 augustus 2015 12:21

Zojuist nog wat ontdekt..

PSAxxxxxx staat voor locatie Amsterdam
PSRxxxxxx staat voor locatie Rotterdam
PSHxxxxxx staat voor locatie Den Haag


Ze gebruiken namelijk op de website een dropdownbox voor afspraak locatie met de volgende opties:
<option value="" selected="selected">Select</option>
<option value="H">Hague</option>
<option value="A">Amsterdam</option>
<option value="R">Rotterdam</option>

1+1 is al vrij snel 2.. dus met even puzzelen had ik al snel een afspraak vanuit Rotterdam gevonden. Ben even aan het snuffelen want aan maat van me heeft toevallig recent een afspraak daar gemaakt en geloofde mijn verhaal niet. Dus nu ben ik mezelf aan het uitdagen om zijn afspraak te vinden :P

Door Tweakers user DonJunior, woensdag 12 augustus 2015 12:47

Hmm.. volgens mij krijg je na een x aantal aanvragen gewoon niets meer terug.. als ik nu de link open in bovenstaande blog (de test afspraak) dan krijg ik ook een leeg resultaat terwijl ik eerder vandaag hier wel een resultaat op kreeg.
Of ze hebben door dat er iemand met hetzelfde ip continu aanvragen zit te doen.. of ze hebben er toch iets van beveiliging ingebouwd vandaag.. (dat zou wel heel toevallig zijn)

Door Tweakers user cyberstalker, woensdag 12 augustus 2015 12:53

Ze hebben de waarde die in de app_no variabele wordt gezet iets aangepast. Zo zie je maar weer, maanden lang mailtjes sturen, langsgaan, het wordt allemaal genegeerd, maar nu is er ineens iets gedaan.

Wat ze nu doen is dat ze de waarde base64 encoden en het =-teken weglaten. Dat is natuurlijk een stuk veiliger, aangezien niemand ook maar kan bedenken dat ze een sequentieel oplopend ID met een scriptje ook kunnen encoden en ophalen.

Edit: Artikel geupdate naar aanleiding van nieuwe informatie.

[Reactie gewijzigd op woensdag 12 augustus 2015 12:59]


Door Tweakers user DonJunior, woensdag 12 augustus 2015 13:14

cyberstalker schreef op woensdag 12 augustus 2015 @ 12:53:
Ze hebben de waarde die in de app_no variabele wordt gezet iets aangepast. [..]
Dus met even spelen op
https://www.base64encode.org/

Vind ik je afspraak onder:
https://blsivac.com/nld/a...on.php?app_no=UFNBMjk4ODA

Kan ik mooi weer verder zoeken.. iets omslachtiger dit keer.. maar net zo onveilig als voorheen.

Door Tweakers user iWebDev, woensdag 12 augustus 2015 16:39

cyberstalker schreef op woensdag 12 augustus 2015 @ 12:53:
Ze hebben de waarde die in de app_no variabele wordt gezet iets aangepast. Zo zie je maar weer, maanden lang mailtjes sturen, langsgaan, het wordt allemaal genegeerd, maar nu is er ineens iets gedaan.

Wat ze nu doen is dat ze de waarde base64 encoden en het =-teken weglaten. Dat is natuurlijk een stuk veiliger, aangezien niemand ook maar kan bedenken dat ze een sequentieel oplopend ID met een scriptje ook kunnen encoden en ophalen.

Edit: Artikel geupdate naar aanleiding van nieuwe informatie.
Base64 is niet "een stuk veiliger". Je kan het namelijk ook zonder problemen weer decoden. Wat ze hebben gedaan is de variable een encode gegeven zodat het lijkt alsof hij niet oplopend is maar het is gewoon hetzelfde gebleven...

Door Tweakers user cyberstalker, woensdag 12 augustus 2015 16:47

iWebDev schreef op woensdag 12 augustus 2015 @ 16:39:
[...]


Base64 is niet "een stuk veiliger". Je kan het namelijk ook zonder problemen weer decoden. Wat ze hebben gedaan is de variable een encode gegeven zodat het lijkt alsof hij niet oplopend is maar het is gewoon hetzelfde gebleven...
Ja precies. Het was dan ook geheel en al sarcastisch bedoelt. Dat had ik er wel iets duidelijker bij kunnen zetten.

Door Tweakers user Bart_GR, donderdag 13 augustus 2015 08:26

Reactie van de ambassade in India :

"Thank you for your message. Much appreciate. We have forwarded it to our consular section for necessary action."

edit: er zijn twee FB pagina's rondom ambasades in india.
Eerste welke reageerde is: https://www.facebook.com/NetherlandsinIndia?fref=ts , met bovenstaande reactie.

Tweede is : https://www.facebook.com/dutchconsulatemumbai?fref=ts , welke zojuist reageerde met: Please email bom@minbuza.nl |:(

[Reactie gewijzigd op donderdag 13 augustus 2015 13:57]


Door Tweakers user cyberstalker, vrijdag 14 augustus 2015 13:22

Bart_GR schreef op donderdag 13 augustus 2015 @ 08:26:
Reactie van de ambassade in India :

"Thank you for your message. Much appreciate. We have forwarded it to our consular section for necessary action."

edit: er zijn twee FB pagina's rondom ambasades in india.
Eerste welke reageerde is: https://www.facebook.com/NetherlandsinIndia?fref=ts , met bovenstaande reactie.

Tweede is : https://www.facebook.com/dutchconsulatemumbai?fref=ts , welke zojuist reageerde met: Please email bom@minbuza.nl |:(
Ja forwarden daar zijn ze erg goed in. Tenminste, ze zeggen altijd dat ze dat doen. Ruim anderhalve dag na dat bericht is het dus nog steeds niet opgelost.

Ik ga ze vanmiddag nog maar eens bellen en als uit het gesprek niet blijkt dat het deze week wordt opgelost maak ik een scriptje die iedereen die een afspraak maakt direct mailt om ze te informeren dat ze daarmee hun gegevens meteen openbaar hebben gemaakt.

Door Tweakers user onkl, vrijdag 14 augustus 2015 13:45

cyberstalker schreef op vrijdag 14 augustus 2015 @ 13:22:
[...]
Ja forwarden daar zijn ze erg goed in. Tenminste, ze zeggen altijd dat ze dat doen. Ruim anderhalve dag na dat bericht is het dus nog steeds niet opgelost.

Ik ga ze vanmiddag nog maar eens bellen en als uit het gesprek niet blijkt dat het deze week wordt opgelost maak ik een scriptje die iedereen die een afspraak maakt direct mailt om ze te informeren dat ze daarmee hun gegevens meteen openbaar hebben gemaakt.
Zou hier wat voorzichtig mee zijn: Voor je het weet zit je zelf in het beklaagdenbankje, hoe onlogisch dat ook zou zijn. Ik zou dit zelf alleen doen nadat ik hierover uitgebreid contact heb gehad met NCSC, om te zorgen dat je intenties vooraf duidelijk zijn bij een onafhankelijke partij.
Dit soort beveligingsproblemen (of eigenlijk: Beveiligingsproblemen bij dit soort organisaties) wordt meestal alleen opgelost na aandacht in de media, dus misschien kan je je energie beter gebruiken voor een verhaal waardoor niet alleen door techneuten, maar ook door het grote publiek wordt begrepen wat het probleem nou eigenlijk is.

Door Tweakers user a fly, zondag 16 augustus 2015 12:40

Ik was vorige maand bij een grote engelse ticketsite achter hetzelfde probleem als jij beschrijft gekomen. De url had ook een cijferreeks, en de enige voorwaarde om tickets te kunnen zien was ingelogd zijn. Er was geen check op de accountnaam o.i.d.
3 uur nadat ik het mailtje had gestuurd hadden ze het opgelost :)
cyberstalker schreef op vrijdag 14 augustus 2015 @ 13:22:
[...]
eens bellen en als uit het gesprek niet blijkt dat het deze week wordt opgelost maak ik een scriptje die iedereen die een afspraak maakt direct mailt om ze te informeren dat ze daarmee hun gegevens meteen openbaar hebben gemaakt.
_/-\o_


Reageren is niet meer mogelijk