Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties
Submitter: Whatevermartijn

Een Nederlandse marketingblogger heeft bij toeval een lek gevonden in het Indonesische systeem om visa online aan te vragen. Hij kreeg hierdoor de visumaanvragen sinds begin vorig jaar in handen.

Volgens blogger Orne Brocaar van Echthelder.nl was het na het aanpassen van enkele regels code mogelijk om de aanvragen in pdf-formaat binnen te hengelen. Op deze manier wist hij zo'n 25.000 aanvragen in handen te krijgen, met daarin naw-gegevens, vluchtgegevens en de reden van verblijf. "Uiteraard heb ik direct de desbetreffende ambassade op de hoogte gesteld om deze in de gelegenheid te stellen dit lek te dichten", aldus Brocaar.

"Ik kwam er achter toen ik zelf een aanvraag deed voor een visum op Visa4indonesia.nl", licht de student Media & Entertainment Management aan de Christelijke Hogeschool Nederland toe. "Op de laatste pagina zag ik een id in de url. Ik ben toen verder gaan spelen en kwam er achter dat er bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond. Door die code iets aan te passen kon ik andere aanvragen bekijken." Volgens Brocaar kan het lek inmiddels niet meer worden misbruikt.

Moderatie-faq Wijzig weergave

Reacties (46)

heeft bij toeval een lek gevonden
bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond. Door die code iets aan te passen kon ik andere aanvragen bekijken
toevallig viel zijn hand zo op zijn toetsenbord dat de broncode geopend en veranderd werd... 8)7

Prima dat iemand dit uitzoekt en netjes doorgeeft, maar om het nou toeval te noemen....
Ik denk het wel toeval, hij was vast niet van plan om die site te hacken, hij vulde een visa aanvraag in en toen hij na het invullen iets zag dat schijnbaar zijn interesse wekte keek hij even verder, als daar dan een SQL regel staat zo als, select * from visa_requests where id = xxxxxxxxxxxxx, dan had ik ook wel even geprobeerd de where clause weg te laten, gewoon omdat ik me af zou vragen of "ze" echt zo onzorgvuldig zouden zijn.

Dat lijkt me ook toeval, ik had waarschijnlijk de moeite niet genomen om de broncode te bekijken zo als de 25000 andere mensen voor mij maar zou ik dat wel gedaan hebben dan had ik ook bij toeval gevonden dat het een zeer slechte beveiliging was
broncode bekijk je niet toevallig....
Juist, toeval zou zijn als hij na het invullen ineens alle visumaanvragen op zijn scherm zou zien staan. Als je bewust een id in een URL gaat veranderen dan ben je al aan het proberen of er misschien ergens een lek zit.

desondanks wel 'grappig' om te zien dat dit soort systemen nog steeds ernstige gebreken vertonen.
Jawel, de broncode kan toevallig op je scherm komen als de pagina ergens een fout vertoond. Een klein gedeelte (waar het op vastloopt) wordt dan vaak getoond voor debug doeleinden.
Als die man zelf een visum aanvraagt via de service, dan is het zijn goed recht om zijn kennis over web development aan te wenden om na te gaan of zijn gegevens wel veilig zijn opgeslagen en niet openbaar kunnen gemaakt worden aan derden
Krijg een leven.

Beetje liggen vallen over of het wel of niet toeval is.

Vraag jij dan elke uur een visum aan voor indonesie ?

Het toeval gebeuren zit hem in:
Hij vraagt online een visum aan en ziet gewoon dat een link er raar uitziet

Einde toeval:
Daarna is hij daarmee verder gaan kijken wat je ermee kon.

Zelf zie ik ook wel eens een link met datum of id, en als nieuwsgierig mens is het dan leuk om te kijken wat een dag ervoor erop stond ofzo.
Hij heeft bij toeval ontdekt dat die code werd getoond. Daarna is hij er mee aan de slag gegaan.
De ontdekking is dus wel toeval maar hoe het lek kan worden gebruikt niet.
Nix toeval.
Ik ben toen verder gaan spelen en kwam er achter dat er bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond.
jij bent zeker nooit nieuwsgierig van aard??? Of ben je er zo 1 die zegt dat nu die gast moet opgepakt worden voor hacken? Misschien moet je in de politiek.
ja daaag... als je id's in url's gaat veranderen dan ben je er bewust naar op zoek

het is niet eens toevallig dat zijn oog op het id in de url viel, want "normale" mensen kijken niet naar nummers in url's


en wat ik hierboven ook al zei, prima, maar noem het geen toeval want dat is het niet.

Als ik toch met tweakers.net url's ga rommelen en kom bv bij een admin pagina uit zonder in te loggen... dan ben ik daar toch ook naar op zoek? of is dat ook toeval
Als je bij gegevens kunt komen die afgeschermd horen te zijn door een getal of letter in de url te veranderen dan is er iets danig mis denk je ook niet?

En dan ben ik maar niet normaal, maar uit hobbymatige interresse kijk ik vaak wel hoe een url is samengesteld en als ik id's erin zie dan kijk ik toch even wat ik daarmee kan.
Besides, ook al zou ik dat niet bewust doen, even een typo maken en je hebt hetzelfde effect.
Het was -als ik het goed begrijp - toeval dat hij op deze site het lek ontdekte: hij was niet bewust allerlij systemen aan het scannen om sites te vinden met lousy code die SQL gebruiken.
Hij bezocht de site om andere redenen en bij het zien van de URL ging hij proberen of er 'undocumented features' waren ingebouwd.

Dus dat hij juist de bewuste site vond was toeval - ter onderscheiding van mensen die internet afstropen om gammele scripts te zoeken.
Sommige URLs lokken gewoon uit om te kijken of er ook narigheid in zit. Als ik een halve SQL query in de querystring zie staan beginnen mijn handen ook te jeuken om daar eens wat anders in te zetten om te kijken of het ook fouten oplevert op de website.

@RutgerM:
Lekker de boel vernachelen is als je er vrolijk allerlei commando's die databases aanpassen erachteraanstuurt. Ik ga me niet bezighouden met het slopen van dergelijke dingen.
Ik heb ooit dankzij een beveiligingsfout het admin wachtwoord van de centrale LDAP server van onze school in handen gekregen waarbij ik van alles en iedereen op school dingen als wachtwoorden, studentnummers, quota, root rechten en dat soort dingen zou kunnen aanpassen. De schade is beperkt gebleven tot een CDR met daarop een backup van de database met een briefje erbij die ingeleverd werd bij de beheerder. Het gezicht van die vent was mij meer waard dan alles wat ik zou kunnen uitspoken met die database (overigens bleek een jaar later hetzelfde simpele wachtwoord ook op de core router te staan, hoezo leer je niet van je fouten?)

[Reactie gewijzigd door _JGC_ op 6 juni 2008 12:08]

Haha, zoiets ken ik ook:

Bij ons op school (gewoon 3de jaar ASO) is er, als je inlogt met je het toetsen account, een gemapte netwerkdrive, waar je (normaal) alleen toetsen op kan slaan.

Je kan dus, als je de netwerkshare opent, alleen de toetsen van andere gebruikers zien, maar niet openen, aanpassen, verwijderen, en al die andere zooi...

Dus onze informatica leerkracht mooi aan iedereen aan het vertellen dat je zoveel op andermans toetsen mag dubbelklikken als je wil, je krijgt ze toch nooit open...

Tot ik zag, dat je bij de eigenschappen van die netwerkshare gewoonweg jezelf op 'Volledig Beheer' kon zetten, zonder dat er een error of toegang geweigerd kwam.

Ik kon dus, grappig genoeg, ineens toetsen openen, aanpassen, naam veranderen, verwijderen, enz.

En daar stonden dus alle toetsen van de school op :)

Mooi eventjes laten zien aan informatica leerkracht, die, na heel verbaasd te hebben gekeken, toch moest toegeven dat het een heel erge fout was... _/-\o_

Ik zal nooit zijn gezicht vergeten :+
Je geeft zelf al aan dat het ook op de corerouter stond, je was dus wel degelijk opzoek naar meer mogelijkheden.

Je deed het bewust, dus wellicht ga je de volgende keer weer wat verder dan alleen de corerouter te checken.
Rutger, ik zie je probleem niet. Als je verstand hebt van sloten, en iemand zegt dat ie (belangrijke!) gegevens van jou 'volstrekt veilig' opslaat, dan is het toch volstrekt logisch dat je kijkt of er inderdaad een deugdelijk slot op zit?
Da's niet wat _JGC_ zegt. Hij ziet een mogelijk lek en controleert daarna of dit werkelijk uitgebuit kan worden.
nee yoh! dat doet iedereen altijd! alleen hij had geluk iets te vinden^^...

Nee ik ben blij dat er dit soort mensen zijn zodat die lekken gedicht kunnen worden en dat hij er niks slechts mee heeft gedaan ofzo...
Het desbetreffende item is ook te zien op youtube:
http://www.youtube.com/watch?v=y_GGASj5jzE
het is voor hem maar te hopen dat eens hij in indonesie zit (als zijn visum wordt goedgekeurd) dat ze hem niet in een cel steken.
Ben maar blij dat er dit soort mensen zijn, als deze er niet waren zouden er meer lekken zijn en liggen je eigen gegevens zo op straat.

Dus ik ben nog altijd blij dat er mensen zijn die dit soort veiligheidslekker opspoort.
Dat wil nog niet zeggen dat de Indonesische authoriteiten er net zo blij mee zijn.
Da's dan vette pech voor die authoriteiten, hadden ze de beveiliging van die website maar scherper moeten stellen. Nu weten ze ten minste waar het lek zich bevindt. Wie weet hoeveel van die persoonsgegevens ze al niet kwijt zijn aan minder bonafide mensen die dit lek ook gevonden hadden? Mensen die dit onder de (media) aandacht brengen zijn de helden van het internet als je het mij vraagt. Er is niets zo erg als een website met brakke beveiliging die persoonsgegevens opslaat (en ze dus publiekelijk beschikbaar maakt).
zeg dat maar tegen de autoriteiten als ze hem wel vast zetten. Dat is hetzelfde als wanneer je ziet dat iemand doorrijd terwijl je voorang hebt.
wanneer je jezelf de kreupels in rijd kan je wel zeggen "maar ik was niet fout". nuttig dus niet echt.

Wel goed hoe hij het heeft gedaan daar niet van. Maar soms doe je de goede dingen terwijl ze je geen voordeel opleveren.
Of het voordeel oplevert of niet, doet niet ter zake. Wat had hij dan moeten doen? Zijn mond houden? Ook geen voordeel. Zijn mond houden en de persoonsgegevens het zwarte circuit in sluizen? Hey, daar is wel een slaatje uit te slaan. Misschien was dat wel wat hij moest doen.

Ik snap wat je bedoelt, maar dat neemt niet weg dat hij (imho) gewoon een held is. Die zie je niet vaak, en zeker niet op zoiets abstracts en anoniems (voor zover dat nog kan in deze tijd) als het internet. Dat dat niet op prijs gesteld wordt is kortzichtigheid. Die mensen (de authoriteiten) moesten maar eens hard nadenken over de gevolgen van de alternatieve opties die deze klokkenluider had.
Orne heeft idd keurig netjes eerst de ambassade, stichting persoonsgegevens, de hoster etc op de hoogte gesteld om het lek te dichten. Jammer dat ze bij de ambassade niet echt actie wilde nemen, maar wat media aandacht helpt daarbij natuurlijk altijd! ;)
Wie weet was er iemand eerder en heeft die heeft zijn ontdekkingen niet wereldkundig gemaakt.
Allicht is 'toevallig' in deze context spreektaal? Net zoiets als zeggen "heeft u toevallig nog een kopje koffie voor me?".
Lekker belangrijk. Je kunt je Łberhaupt afvragen of er zoiets bestaat als 'toeval', of dat ons brein bezig is met patronen zoeken en als we die gevonden hebben toeval noemen.
ok ontopic.

Wel slordig gedaan zeg... maar is dit een officiŽle regeringssite of een site die een api oid gebruikt?
Voor diegene die niet denken dat dit toeval kan zijn, het volgende scenario:

Stel je zit een artikel te lezen en wilt naar de volgende pagina. De link levert helaas een 404 op, maar je ziet in de adresbalk de URL www.nieuws.nl/artikel?page=1 staan. Zou je dan niet de www.nieuws.nl/artikel?page=2 URL proberen?

[Reactie gewijzigd door Cameleon73 op 6 juni 2008 12:02]

Waarom moeilijk doen als het makkelijk kan,
http://life.tweakers.net/nieuws/53852 (dit bericht, de titel is alleen voor de netheid en de indexering) veranderen naar http://life.tweakers.net/nieuws/1.

Id's in de url balk is sowieso link want zoals het artikel al aangeeft is de kans dat iemand je site gaat harvesten heel groot.

[Reactie gewijzigd door poederrijden op 6 juni 2008 12:15]

Dat maakt het niet makkelijker. Hoe wil je dan achterhalen welk artikel opgehaalt moet worden? Hoe moeten mensen de url doorgeven aan anderen?
Jammer dat onderaan die pagina staat:

"Op dit item kan niet meer gereageerd worden."

Ik zou het wel grappig vinden als mensen er eens in de zoveel tijd per ongeluk op terechtkomen en er al dan niet een boodschap achterlaten. Het topic zelf stijgt zo boven zichzelf uit, is als het ware zijn eigen onderwerp geworden. Of zo. :?

Geweldig toch, iemand die 20 dagen na een reactie roept: "Dennis, jij hier. Geinig"

jaja, dat het voor modders een crime is snap ik ook wel, maar 1 uitzondering kan toch wel?
Die uitzondering bestaat al. Er is namelijk een heel oud topic waar nog wel op gereageerd kan worden, hoewel nieuwe berichten na korte tijd wel verwijderd worden volgens mij.

Welk topic dat is, is irrelevant ;) maar als je de moeite neemt om de FAQ's goed te lezen kom je er vanzelf wel achter.
Zo heb ik ooit (heeeeel vroeger) een lekje ontdekt in de website van symantec (dirlisting stond aan..) en kon toen gewoon lekker browsen en een exchelsheet met NAW gegevens van 100den klanten downloaden... toen maar netjes een mailtje gestuurd en het probleem werd meteen opgelost... wel grappig nu dat ik er zo aan terug denk :)
sql code in javascript? Dan vraag je er ook gewoon om...

Benieuwt of ie zijn VISA nog gaat krijgen :P
sql code in javascript? Dan vraag je er ook gewoon om...

Benieuwt of ie zijn VISA nog gaat krijgen :P
Hmm... ik denk niet dat er sql in javascript is gebruikt O-)

Ze bedoelen dat elke PDF download URl een id bevatte en als je die veranderde dat je dan iedere PDF kan downloaden.
Dit is absoluut niet de enige site die dit gebrek vertoont...
En net daarom is het beangstigend dat de overheid allerhande informatie van z'n burgers bijhoudt of wil bijhouden:
- internet verkeer
- digitale tv verkeer
- telefoon verkeer en dus ook locaties
- geÔntegreerd patientendossier
- voorstel tot bijhouden alle vingerafdrukken vanaf 2009 (?) in NL

Op zich al bedenkelijk, maar ze verliezen nu al usb sticks en laptops. En er moet maar 1 hacker goed zijn en hij heeft alle vingerafdrukken van elke Nederlander. Of weet men elke ziekte die iemand ooit had, waar je allergisch voor bent, ... Allemaal in 1 centrale database die via internet toegankelijk is (keylogger of trojan op politiepc en je bent binnen).

Hoe meer informatie er wordt opgeslagen, des te gevaarlijker. Eigenlijk is het een mooie paradox: men slaat al die info op onder het mom van terrorisme en onze veiligheid. Terwijl men ons net veel onveiliger maakt.

[Reactie gewijzigd door ? ? op 6 juni 2008 11:24]

Het is niet zo heel moeilijk dit soort gegevens anoniem op te slaan, net als met creditcard gegevens gebeurt. Eťn systeem mag nooit alle data bevatten.
Zou inderdaad niet mogen; maar dat wil niet zeggen dat het niet gebeurt.
En het is inderdaad op zich niet moeilijk om het anoniem op te slaan; maar wie zeg dat dat anoniem gebeurt....
Zeker bij vastleggen email-recordrs is er weinig anoniem: de afzende zou je evt, nog kunnen vervangen door een (semi) anonieme code (bij opslaan verzonden berichten), maar als je dan ff browst door de bestemmingen en je kan vaak de afzender redelijk precies achterhalen...

Een UB stick KAN je ook vrij eenvoudig beveiligen en de data versleutelen; maar de sticks die het leger en de voorloper van de AIVD kwijt raakten waren gewoon leesbaar.
Zeker en vast, je zou er van versteld staan hoeveel website gevoelig zijn voor een sql aanval, ondermeer de website van Coca Cola Light en hun fasion wedstrijd. Als je een ' in je naam plaatste (of in mijn geval gedoemd bent te hebben) dan kreeg je steeds een nieuwe code en kon je onbeperkt spelen. :)
Ze is er pas uitgehaald nadat ik na poging 200 een prijs had gewonnen, spijtig genoeg niet de hoofdprijs ;(
volgens zijn blog via zijn profiel is zijn achternaam D'haese dus van daar

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True