Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties
Submitter: Puch-Maxi

Het visumaanvraagtraject via de Indiase visuminstantie BLS India in Nederland was 'zo lek als een mandje'. Dat ontdekte Tweaker Cyberstalker. Als een aanvrager alles had ingevuld, waren vrijwel alle persoonlijke gegevens van derden zo terug te vinden. Het lek is gedicht.

Cyberstalker schreef eerder in augustus op zijn Tweakblog dat het systeem dat de informatie van visumaanvragers verzamelt, alle gegevens openbaar publiceert. De door de visuminstantie gegenereerde afspraakbevestiging maakte gebruik van een publiek zichtbaar, oplopend nummeringssysteem. Omdat de afspraken uit het verleden niet werden gewist, kon iedereen simpel de afspraken doorlopen.

De pagina's bevatten de persoonlijke informatie die de aanvrager had ingediend. Een simpel testje via de site van blsindia-nl.com gaf de aanvrager voor een boeking een identificatienummer en een bevestiging die geprint moest worden. Op de boeking was een naam, telefoonnummer, 'Web File No.' en e-mailadres terug te vinden. In sommige gevallen vulden mensen ook hun paspoortnummer in.

Als er een webfile-nummer was ingevuld en het paspoortnummer van de aanvrager was ook bekend, dan was het mogelijk de volledige gegevens van de visumaanvraag in te zien, ontdekte Cyberstalker. In dat geval waren ook gegevens als geboortedatum, adres, geboorteplaats, gegevens over ouders en nog veel meer in te zien. Het is makkelijk om aanvragers op te bellen en te vragen naar ontbrekende informatie, vermoedt Cyberstalker, omdat mensen er van uitgaan dat alleen mensen van de ambassade of van het bureau bij de ingevulde aanvraaggegevens uit het psa-nummer kunnen.

Na meerdere pogingen en het schrijven van het blog is Cyberstalker uiteindelijk in contact gekomen met de ontwikkelaars van de site. Het probleem is opgelost en en passant is er ook nog een sql-injectielek gerepareerd.

bls india aanvraag

Moderatie-faq Wijzig weergave

Reacties (46)

Dit was een interessant project. Het vreemdste was dat het nagenoeg onmogelijk was om iemand te pakken te krijgen die interesse had in het oplossen van het probleem. Ik heb BLS gemaild, gebeld en heb het probleem in persoon aangegeven.

Een paar dagen na het plaatsen van het artikel lukte dat toch en toen werd er direct een heel team op gezet om het op te lossen. Ik heb vier verschillende programmeurs uit India aan de telefoon gehad. Ik heb het hele concept van SQL-injection aan ze moeten uitleggen. Het was dus niet zozeer dat ze dat gewoon vergeten waren, ze waren zich gewoonweg niet bewust van het feit dat dat uberhaupt mogelijk was. Uiteindelijk na het sturen van linkjes waaruit tabelnamen tevoorschijn kwamen begrepen ze het.
Geeft toch maar weer mooi aan, dat dat outsourcing toch allemaal niet zo soepel was als menig persoon je wilde doen laten geloven. Met name diepere kennis ontbreekt in die landen, hier ben ik ook meermaals tegenaan gelopen.
Alleen denk ik niet dat je hier van outsourcing kan spreken aangezien het net om de ambassade van India gaat. Het toont wel aan dat goedkope ontwikkelingsbedrijven vaak te weinig kennis hebben om veilige systemen op te zetten.
Dat is volgens mij de vinger op de zere plek leggen.
Wil trouwens niet zeggen dat het goedkoop is...

Er zijn genoeg bedrijven die puur gericht zijn op het ontwikkelen van functionaliteit.
Maar testen en/of controleren op beveiliging wordt niet of nauwelijks gedaan of ze hebben er geen kaas van gegeten.

Ze mogen zich gelukkig prijzen dat Cyberstalker niet alleen het probleem heeft geidentificeerd en gerappporteerd, maar ze ook nog heeft geholpen het lek te dichten.

Krab me nu ook al achter de oren met al die andere (verplichte) visa diensten.
Voel me enigzins opgelucht dat ik gewoon de papierzooi meeneem naar de visadienst in plaats van online in te vullen.
Alleen denk ik niet dat je hier van outsourcing kan spreken aangezien het net om de ambassade van India gaat.
Da's niet helemaal waar.
Als je als Ecuadoriaan, naar Nederland gaat dan gebruikt de Nederlandse ambassade ook BLS om gegeven op te nemen en te verstrekken. Ik weet bijna zeker dat het wel om dezelfde BLS gaat.
Als dat zo is, dan kun je gerust stellen dat BLS veel meer gegevens lekt dan alleen nederlanders.

Weer een mooi staaltje van 'goedkoop is duurkoop'.
Alle gekheid op een stokje, ik vindt het schrijnend dat Nederland hier geen toezicht op houdt.
Ik heb er geen ervaring mee maar gezien hoe frequent sites "lek als een mandje" zijn doet me toch denken dat dit meer een algemeen probleem is. Buiten het feit dat het hier gaat om een website opgericht door Indiers, lijkt het me zowieso toch wel te verwachten dat het Indiers zijn die de site programmeren/beheren.
Daar heb je zeker gelijk in: het is een 'algemeen' probleem. Daarmee insinueer je al dat 'het gros' van de sites inderdaad niet aan bepaalde veiligheidsstandaarden voldoet. Ik heb geen cijfers, maar dat neem ik graag van je aan.

Maar ambassades zijn nou net de partijen met veel geld, die wel de middelen hebben om alle moderne standaarden te hanteren. Aangezien zij ook nog eens werken met persoonsgegevens als paspoortnummers e.d. zou je toch wel kunnen stellen dat het wellicht een 'algemeen probleem' is, waar ik toch wel veilig aan toe kan voegen 'wat bij overheidsinstanties extra uit den boze is als dit zich voordoet'.

Niet alleen omdat zij verplicht zijn onze gegevens te beschermen, maar vooral omdat zij ons belastinggeld gebruiken - daar is tenslotte die hele belasting voor bedoeld: zodat de overheid middelen heeft om de burgers te beschermen tegen van alles. En durf te wedden dat zij wel de hoofdprijs betalen aan een lokaal bedrijf dat vervolgens de werkzaamheden voor een habbekrats uit besteed aan India. Dat is de formule van moderne outsourcingsbedrijven.

[Reactie gewijzigd door dwarfangel op 24 augustus 2015 17:07]

Maar ambassades zijn nou net de partijen met veel geld, die wel de middelen hebben om alle moderne standaarden te hanteren.
Voor de goede orde, het gaat hier niet om een ambassade maar om een commercieel bedrijf dat voor de ambassade visa aanvragen afhandelen. Helaas zijn dat vaak wat schimmige bedrijven, mijn ervaringen met een visa voor Rusland waren abominabel.

Sommige landen willen de kosten voor visa aanvragen verlagen en laten daarom andere partijen een groot deel van het werk doen. Als visum aanvrager heb je geen keus en moet je maar betalen en je aan deze bedrijven onderwerpen. Een slechte zaak.
Verkeerde woordkeuze inderdaad, maar zoals ik het begrijp zijn ook dit wel bedrijven die de nodige kennis en middelen zouden moeten hebben om dit op orde te hebben.
De meeste mensen zijn hier totaal niet mee bezig, net zo min als jij of ik ons zorgen maken of het water wel drinkbaar is voor we een kop thee zetten.
IT wordt door de meesten ook niet gezien als deel van hun taak. Een bedrijf als dit is gespecialiseerd in visa, niet in software. Ze kopen software en gaan er van uit dat het wel veilig is, want de auteur is iemand "die de nodige kennis en middellen zou moeten hebben". Zelf missen ze de kennis om te controleren of de software ook van goede kwaliteit is; IT is immers uitbesteedt. Bij zo'n aankooptraject is security het eerst wat sneuvelt, de klant vraagt immers niet om concrete maatregelen en de goedkoopste wint.
Bij security kan je er niet op vertrouwen dat het wel goed is. Je moet het controleren en harde afspraken maken met de leverancier zodat de veiligheid wordt gegarandeerd.

cynicus: vraag nooit om "industry standard security" want de standaard is een slechte beveiliging.
Je moet met die commerciële partijen zaken doen, dus vanuit het standpunt van de aanvrager is het de ambassade.
Dan wil je niet weten wat er hier aan outsourcing gebeurd bij één van de grote internetverdelers van België. Alles van interne programma's dat hier geschreven is wordt door Indiërs en anderen geschreven. Heb je een probleem met dat programma dan moet je je hele uitleg in het Engels aan de telefoon doen en hopen dat het goed loopt. Zo is mijn ticket ooit eens 4 weken opengebleven omdat ze het probleem niet vonden. Nochtans werden de experts van dat programma erop gezet. Hebben ze uiteindelijk besloten om mijn pc gans te wipen en opnieuw het OS te installen.

Nog zo'n mooi voorbeeld van hier intern. Streaming is intern verboden, dus geen Spotify en dergelijke. Maar je kan wel de webplayer openen en je ook Spotify installen maar de uninstaller is geblokkeerd dus moest je het willen verwijderen ben je screwed. In plaats dat ze dan de installer blocken, nope.
En je op internet negatief uitlaten over je werkgever is een goede zet sinds... ? Op basis van je reactiegeschiedenis kon ik op 2 minuten achterhalen waar je werkt (zij dus ook).

Daarnaast heeft je werkgever een beleid waar je van op de hoogte bent. Dat ze dit technisch niet 100% afdwingen is niet relevant, je zou het in de eerste plaats niet eens moeten proberen.
Dus stel dat ik Spotify install op mijn pc voor dat die regelgeving van toepassing is (wat in dit geval zo was) nadien met de social media policy verstrengen ze dit en om in orde te zijn met de policy wil ik het verwijderen maar kan ik het niet? Hm, ok dan.

En nergens laat ik mij negatief uit over het bedrijf/werkgever. Ik ben kwaad omdat ik 4 weken heb moeten wachten op één ticket. Terwijl de specialisten het zogezegd zouden moeten kunnen oplossen. Met als gevolg dat ik mijn pc heb moeten laten reinstallen en al mijn settings/programs opnieuw mag instellen. Daarom ben ik ontgoocheld, verre van over mijn werkgever :)
Als je die wenst te uninstallen voer je gewoon een ticket en dat ze niet kunnen oplossen en dan komt de wipe vanzelf :+ . Denk trouwens dat ik weet om welke ISP het gaat, heb een klasgenoot die er ook werkt en heb daar ook al zulke verhalen van gehoord.
Goedkoop is duurkoop. Je vraagt er op die manier zelf om. ;)
Hoe groot is de kans, dat ze niet direct wilden toegeven het wel te weten?

Voor mijn gevoel zijn de meeste gasten (en vrouwen) in India prima deskundig, maar worden ze vrij snel op de vingers getikt.
Stel die ene man had toegegeven, wie weet was hij ontslagen o.i.d.
Het lijkt mij niet onvoorstelbaar om te zeggen dat zij zich bewust van het domme hielden.

Daarbij is het een cultuur, die nooit 'nee' zegt, al is het eigenlijk niet mogelijk. Ik zie ze er ook nog voor aan om het niet goed te horen en daarom zich maar van het domme houden.

Outsourcing is in principe prima, mits je intern ook de kennis houdt en je een manager hebt, die daadwerkelijk kan managen. (die zijn serieus moeilijk te vinden; de meeste zijn van de netwerken)
Nu ik heb professioneel gewerkt met heel wat helpdesks van grote bedrijven die allemaal in India zaten.

Dat kost gewoon 10x langer dan als hij fysiek in West Europa zit (vaak worden ze doorgeschakeld - je belt dus nummer in NL of binnen europa en je krijgt toch India aan de lijn).

"yes sahib".

De paar heel vakkundige Indiers die ik ken, die zitten niet bij zo'n helpdesk natuurlijk waar je handvol rupia's verdient. Die zijn of geeemigreerd of werken voor de overheid.

Gevolg is dat je dus met totale beginners te maken hebt continue.
Wel treurig dat SQL-injection niet eens bekend bij ze was. Ik weet nog dat ik dit jaren geleden al op school kreeg uitgelegd.
Waarschijnlijk zijn ze zich zeer bewust wat het betekent, maar zal weer eerder een kwestie zijn van jouw specifiek gevonden problemen op te lossen om daarna niet meer verder te kijken...
Dat is geheel mijn ervaring met BLS International als klant: i.e. iemand die een visum probeert te regelen. De support is bizar slecht. Dat kunnen ze ook maken, want door 'deals' met de Indiase ambasade, zijn zij de enige erkende bemiddelaar: i.e. de enige via wie je een visum voor India kan verkrijgen.
(p.s. gelukkig zijn ze weer niet zo erg als de bureaucratie in India zelf, want daar zit je zo 3 volle dagen bij de immigratiedienst...)
Hopelijk is dit een argument dat BLS kan dwingen tot verbetering van hun support... Ik denk het niet. Past niet in de cultuur om fouten te erkennen...

(sorry, frustratiepuntje)
Eh, waarom maak je dit ook niet aanhanging bij het CBP, had dat niet wat tijd gescheeld om wat meer juridische druk er op te zetten?

Nagoed, het is in ieder geval gelukt om ze wat kritischer naar hun beveiliging te kijken.
Ik heb inderdaad ook contact opgenomen met ze, maar daar is helaas niets uitgekomen. Sowieso koppelt het CBP niet terug naar de persoon die iets aangeeft, maar het is ze blijkbaar ook niet gelukt hier enige vaart in te krijgen.

Naar wat ik heb begrepen is het CBP chronisch onderbemant en krijgen ze daardoor erg weinig voor elkaar. Dat is jammer want juist in deze tijd van vergaande digitalisering zijn ze eigenlijk heel hard nodig.
Bah, dat is jammer. Ik had juist de indruk dat ze redelijk goed er bovenop zaten (vanuit m'n werkveld), maar de praktijk wijst dus anders uit.
Misschien kregen ze wat meer voor elkaar (en verhelpen ze hun onderbemanning) als ze wat vacatures open zouden zetten? Want wat je zegt is erg juist, er komt alleen maar meer en meer vraag naar hun dienst.
Het gaat toch om een site van de Indiase ambassade? Valt deze dan niet ook onder de Indiase wetgeving? Met andere woorden heeft het CBP hier wel iets over te zeggen?
Mooie tekst die je op hun site direct in beeld krijgt:

Your personal data with BLS is fully secure and we maintain full privacy of your valuable data.

Maar op de site niets te vinden over dit lek...
Als je het betreffende blog van Cyberstalker leest merk je dat dit op basis van een hele andere standaard is dan dat wij hanteren, hij is er maanden mee bezig geweest om die partij zo ver te krijgen om dit eindelijk te fixen.

Dit is een typisch bedrijf uit India, er wordt A gevraagd en A wordt geleverd, ze weten allemaal dat B nodig is om A veilig te maken, maar er is niet naar B gevraagd, dus doen ze er niets mee.
Typisch Idiaas? Een Nederlands bedrijf zou zoiets nooit doen?
Een Nederlands bedrijf levert A en stuurt na betaling een offerte om ook B te leveren, met een beschrijving waarom B noodzakelijk is.
Nee joh die Indische bedrijven zijn 100x meer crap nog dan de crap die hier zit.
Ik zal er persoonlijk nooit happig op worden om al mijn privégegevens in te vullen op zo'n website. Je weet immers meestal niet goed wat er nadien nog mee gebeurt. Maar helaas blijven er niet veel andere opties over als je zonder al te veel moeite op reis wil/moet.

Ik vind deze fout echt frappant en vooral ook vreemd dat dit nu pas boven water komt.

[Reactie gewijzigd door breezie op 24 augustus 2015 13:43]

Als je voor je werk naar India toe moet is er niet eens een andere mogelijkheid.
Ik kon het alleen aanvragen via de website.

Als je alleen voor vakantie komt, is het soms mogelijk dat je daar je visum past koopt, maar dat wordt volgens mij afgeraden.
Klopt, ik ben meermaals afgereisd naar India voor mijn werk, en BLS International is dan de enige optie om überhaupt een visum aanvraag in gang te zetten. Naar het kantoor gaan zonder deze website bezocht te hebben is een absolute no-go. Meermaals een visum aangevraagd via deze amateuristische toko. Ben dan ook niet al te blij met het feit dat het zo eenvoudig was (zelf getest samen met een collega, konden zo gegevens van Jan en alleman boven water halen).

Op deze wijze omgaan met persoonsgegevens is echt een slechte zaak. Kan maar zo tot identiteit diefstal komen... Heb het hier bij ons bedrijf maar gecommuniceerd, je weet nooit.
De neiging zou in mij opkomen om nepaanvraag te doen namens ene N. Modi (en voor de goede orde M. Gandhi) en vervolgens een Indiaas journalist te tippen...

Dat is natuurlijk deel van het probleem hier: je bent als visumaanvrager minder klant en meer product, BLS wordt niet afgerekend op klantvriendelijkheid maar op zorgen voor inkomsten en buitenhouden van ongewensten. Als je toch geen keuze hebt is de belangstelling om jou goed te behandelen minimaal.
@Godjira: misschien Visum.nl eens proberen dan, heb ik ook al meerdere malen gedaan, zonder problemen (behalve de gigantische papieren rompslomp dan).
en het blijft maar door gaan, een papieren economie was zo slecht toch niet
sinds de omschakeling van CICS naar SAP is het papierverbruik bij ons geëxplodeerd. Vooruitgang in de IT is helemaal geen besparing voor het papier. Heb ook al maar al te vaak gezien dat bij online aankopen waarbij een factuur op papier mij als particulier nu eens niets interesseert, er toch altijd 1 word meegestuurd. Stuur dat toch gewoon naar mijn mailbox.
Was met de printer toen ook zo. "iedereen een printer om bomen te redden!". En het papier verbruik steeg door het dak :)
Je zou denken dat met ORM paketten SQL injecties inmiddels geen probleem meer zouden moeten zijn.
inmiddels? Een ORM gaat je echt niet beschermen tegen sql injections...
Een ORM is een techniek om de complexiteit van je code te verlagen, niet om je applicatie veiliger te maken...

IMHO valt een ORM in een categorie waar ook VB in thuis hoorde: "easy things are easy to accomplish, complext things however are nearly impossible." Een ORM zou niet een de-facto standaard mogen zijn bij het ontwikkelen van een applicatie eerder een design keuze.
Een ORM helpt inderdaad niets maar een modern webframework (dus een die specifiek ontworpen is met dit soort dingen in gedachten, zoals ruby on rails) kan wel een hoop helpen. Die hebben vaak functies om je ertegen te beschermen, en een set best practises die je helpen er nooit mee te maken te krijgen (zoals altijd de helpers van het framework gebruiken, niet zelf je eigen strings gaan concateneren).
Goed dat er uiteindelijk alsnog een bericht is gekomen!

Ik vind het heel goed als iemand (nota bene een tweaker) lekken constateert en na lang proberen op te lossen, niet de handdoek in de ring gooit. Dat het even online heeft gestaan weegt totaal niet op tegen de jaren (?) dat dit lek er was. Chapeau!
Als je gaat zoeken in Indische software dan vind je natuurlijk meer gaten en lekken dan in gatenkaas.
Mooi voorbeeld van een site die beveiligd is met een (domain validated) certificaat en niet veilig is. Bewijs dat alleen een certificaat niet genoeg is maar dat er ook nagedacht moet worden wat je verzameld, hoe je het opslaat en (later) weer weergeeft.
Overigens zijn ze (wat mij betreft) niet klaar.... de site levert op dit moment nog mixed-content (en als je wat dieper graaft is er nog wel meer aan de hand met het 'correct' aanbieden van een beveiligde verbinding).

Wat me eigenlijk de meeste zorgen baart is dat het noodzakelijk bleek om SQL-injectie uit te leggen...
Yes, Sahib.

Realiseer jij je wel wat een Indische helpdesk is Jester?

Dat zijn dametjes en jochies die een papieren examen hebben afgelegd, soms in de IT en dan een papiertje hebben dat ze IT-er zijn. Dan gaan ze aan de slag als helpdesk medewerker en zien ze VOOR HET EERST IN HUN LEVEN een PC.

Dat is kort samengevat hoe het daar werkt.

Er zijn ook Indiers diegaan naar een universiteit zoals wij die kennen. Dat is dan gelijk een top universiteit - maar niet 1 van hen komt OOIT op een helpdesk terecht. Gros emigreert en andere helft komt via via bij de overheid terecht.

Die verdienen in hun eentje een salaris dat 10x hoger ligt dan zo'n helpdesk medewerkster.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True