Indiase visumboer lekt paspoort, telefoon en emailgegevens

Door cyberstalker op maandag 10 augustus 2015 19:07 - Reacties (68)
Categorie: -, Views: 8.751

Een aantal maanden geleden viel het me bij het aanvragen van een visum voor India op dat BLS India, de visumboer die door de ambassade is aangewezen aanvragen te verwerken, hele simpele, oplopende nummers gebruikt in de URL's voor hun afspraakbevestigingen.

Op de pagina's kun je behoorlijk wat persoonlijke informatie terugvinden. Niet alleen staat daar altijd een telefoonnummer en emailadres, ook staat daar danwel een paspoortnummer danwel een 'Web File No.'. Een paspoortnummer in combinatie met een naam en contactgegegevens is natuurlijk al vreselijk als dat uitlekt, maar met een 'Web File No.' kun je zo mogelijk nog veel meer.

Via dit nummer is het - indien je het paspoortnummer erbij vindt - mogelijk om de volledige gegevens van een visumaanvraag in te zien. Daar vindt je echt van alles, geboortedatum, adres, geboorteplaats, gegevens over de ouders. Het houdt niet op. Deze gegevens zijn natuurlijk niet moeilijk te achterhalen als je al zoveel informatie hebt. Gewoon even opbellen en je voordoen als een medewerker van BLS en mensen zullen je zeer waarschijnlijk die gegevens zo doorgeven.

Ik heb dit bedrijf meerdere malen benaderd, zowel per e-mail, telefonisch als in persoon. Het maakt ze blijkbaar niets uit aangezien ze er in maanden helemaal niets aan hebben gedaan (ze hebben in Nederland dan ook een monopoliepositie, aangezien de ambassade enkel met hen zakendoet).

Voorbeeld van een testafspraak die ik net even heb geplaatst: Afspraak PSA29880.

Speel je wat met de nummers in de app_no variabele dan zul je zien dat ongeveer 1 op de 5 nummers geldig is en je met een simpel scriptje zo een heleboel informatie kunt verzamelen. Als je ze ook nog nabelt ("Ja hallo mevrouw X, u spreekt met Y van BLS India, u heeft net een afspraak bij ons gemaakt maar we missen helaas nog uw paspoortnummer...") dan heb je werkelijk waar zo'n beetje alle informatie die je maar kunt wensen over iemand.

Update: naar aanleiding van dit artikel is het algoritme nu aangepast. Ze gebruiken nog steeds dezelfde, oplopende identifiers, maar nu gooien ze er een base64_encode overheen en strippen de = weg.