Student ontdekt lek in visumaanvraagsysteem Indonesië

Een Nederlandse marketingblogger heeft bij toeval een lek gevonden in het Indonesische systeem om visa online aan te vragen. Hij kreeg hierdoor de visumaanvragen sinds begin vorig jaar in handen.

Volgens blogger Orne Brocaar van Echthelder.nl was het na het aanpassen van enkele regels code mogelijk om de aanvragen in pdf-formaat binnen te hengelen. Op deze manier wist hij zo'n 25.000 aanvragen in handen te krijgen, met daarin naw-gegevens, vluchtgegevens en de reden van verblijf. "Uiteraard heb ik direct de desbetreffende ambassade op de hoogte gesteld om deze in de gelegenheid te stellen dit lek te dichten", aldus Brocaar.

"Ik kwam er achter toen ik zelf een aanvraag deed voor een visum op Visa4indonesia.nl", licht de student Media & Entertainment Management aan de Christelijke Hogeschool Nederland toe. "Op de laatste pagina zag ik een id in de url. Ik ben toen verder gaan spelen en kwam er achter dat er bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond. Door die code iets aan te passen kon ik andere aanvragen bekijken." Volgens Brocaar kan het lek inmiddels niet meer worden misbruikt.

IT-banen

Reacties (46)

Prulleman 6 juni 2008 10:49

heeft bij toeval een lek gevonden

bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond. Door die code iets aan te passen kon ik andere aanvragen bekijken

toevallig viel zijn hand zo op zijn toetsenbord dat de broncode geopend en veranderd werd...

Prima dat iemand dit uitzoekt en netjes doorgeeft, maar om het nou toeval te noemen....

Rob Coops

Beveiliging
Overheid

@Prulleman • 6 juni 2008 11:06

Ik denk het wel toeval, hij was vast niet van plan om die site te hacken, hij vulde een visa aanvraag in en toen hij na het invullen iets zag dat schijnbaar zijn interesse wekte keek hij even verder, als daar dan een SQL regel staat zo als, select * from visa_requests where id = xxxxxxxxxxxxx, dan had ik ook wel even geprobeerd de where clause weg te laten, gewoon omdat ik me af zou vragen of "ze" echt zo onzorgvuldig zouden zijn.

Dat lijkt me ook toeval, ik had waarschijnlijk de moeite niet genomen om de broncode te bekijken zo als de 25000 andere mensen voor mij maar zou ik dat wel gedaan hebben dan had ik ook bij toeval gevonden dat het een zeer slechte beveiliging was

Prulleman @Rob Coops • 6 juni 2008 11:08

broncode bekijk je niet toevallig....

jellyshock @Prulleman • 6 juni 2008 11:17

Juist, toeval zou zijn als hij na het invullen ineens alle visumaanvragen op zijn scherm zou zien staan. Als je bewust een id in een URL gaat veranderen dan ben je al aan het proberen of er misschien ergens een lek zit.

desondanks wel 'grappig' om te zien dat dit soort systemen nog steeds ernstige gebreken vertonen.

Verwijderd @Prulleman • 6 juni 2008 11:19

Jawel, de broncode kan toevallig op je scherm komen als de pagina ergens een fout vertoond. Een klein gedeelte (waar het op vastloopt) wordt dan vaak getoond voor debug doeleinden.

al-ahlex @Prulleman • 6 juni 2008 11:28

Als die man zelf een visum aanvraagt via de service, dan is het zijn goed recht om zijn kennis over web development aan te wenden om na te gaan of zijn gegevens wel veilig zijn opgeslagen en niet openbaar kunnen gemaakt worden aan derden

Pumbaa82 @Prulleman • 6 juni 2008 11:42

Krijg een leven.

Beetje liggen vallen over of het wel of niet toeval is.

Vraag jij dan elke uur een visum aan voor indonesie ?

Het toeval gebeuren zit hem in:
Hij vraagt online een visum aan en ziet gewoon dat een link er raar uitziet

Einde toeval:
Daarna is hij daarmee verder gaan kijken wat je ermee kon.

Zelf zie ik ook wel eens een link met datum of id, en als nieuwsgierig mens is het dan leuk om te kijken wat een dag ervoor erop stond ofzo.

TheCapK @Prulleman • 6 juni 2008 10:59

Hij heeft bij toeval ontdekt dat die code werd getoond. Daarna is hij er mee aan de slag gegaan.
De ontdekking is dus wel toeval maar hoe het lek kan worden gebruikt niet.

KO @TheCapK • 6 juni 2008 11:06

Nix toeval.

Ik ben toen verder gaan spelen en kwam er achter dat er bij een niet bestaand id sql-code in een Javascript in de broncode wordt getoond.

gassiepaart @KO • 6 juni 2008 11:53

jij bent zeker nooit nieuwsgierig van aard??? Of ben je er zo 1 die zegt dat nu die gast moet opgepakt worden voor hacken? Misschien moet je in de politiek.

Prulleman @TheCapK • 6 juni 2008 11:04

ja daaag... als je id's in url's gaat veranderen dan ben je er bewust naar op zoek

het is niet eens toevallig dat zijn oog op het id in de url viel, want "normale" mensen kijken niet naar nummers in url's

en wat ik hierboven ook al zei, prima, maar noem het geen toeval want dat is het niet.

Als ik toch met tweakers.net url's ga rommelen en kom bv bij een admin pagina uit zonder in te loggen... dan ben ik daar toch ook naar op zoek? of is dat ook toeval

Verwijderd @Prulleman • 6 juni 2008 11:22

Als je bij gegevens kunt komen die afgeschermd horen te zijn door een getal of letter in de url te veranderen dan is er iets danig mis denk je ook niet?

En dan ben ik maar niet normaal, maar uit hobbymatige interresse kijk ik vaak wel hoe een url is samengesteld en als ik id's erin zie dan kijk ik toch even wat ik daarmee kan.
Besides, ook al zou ik dat niet bewust doen, even een typo maken en je hebt hetzelfde effect.

Verwijderd @Prulleman • 7 juni 2008 14:02

Het was -als ik het goed begrijp - toeval dat hij op deze site het lek ontdekte: hij was niet bewust allerlij systemen aan het scannen om sites te vinden met lousy code die SQL gebruiken.
Hij bezocht de site om andere redenen en bij het zien van de URL ging hij proberen of er 'undocumented features' waren ingebouwd.

Dus dat hij juist de bewuste site vond was toeval - ter onderscheiding van mensen die internet afstropen om gammele scripts te zoeken.

_JGC_ @Prulleman • 6 juni 2008 11:12

Sommige URLs lokken gewoon uit om te kijken of er ook narigheid in zit. Als ik een halve SQL query in de querystring zie staan beginnen mijn handen ook te jeuken om daar eens wat anders in te zetten om te kijken of het ook fouten oplevert op de website.

@RutgerM:
Lekker de boel vernachelen is als je er vrolijk allerlei commando's die databases aanpassen erachteraanstuurt. Ik ga me niet bezighouden met het slopen van dergelijke dingen.
Ik heb ooit dankzij een beveiligingsfout het admin wachtwoord van de centrale LDAP server van onze school in handen gekregen waarbij ik van alles en iedereen op school dingen als wachtwoorden, studentnummers, quota, root rechten en dat soort dingen zou kunnen aanpassen. De schade is beperkt gebleven tot een CDR met daarop een backup van de database met een briefje erbij die ingeleverd werd bij de beheerder. Het gezicht van die vent was mij meer waard dan alles wat ik zou kunnen uitspoken met die database (overigens bleek een jaar later hetzelfde simpele wachtwoord ook op de core router te staan, hoezo leer je niet van je fouten?)

[Reactie gewijzigd door _JGC_ op 26 juli 2024 15:12]

Petervanakelyen @_JGC_ • 6 juni 2008 12:28

Haha, zoiets ken ik ook:

Bij ons op school (gewoon 3de jaar ASO) is er, als je inlogt met je het toetsen account, een gemapte netwerkdrive, waar je (normaal) alleen toetsen op kan slaan.

Je kan dus, als je de netwerkshare opent, alleen de toetsen van andere gebruikers zien, maar niet openen, aanpassen, verwijderen, en al die andere zooi...

Dus onze informatica leerkracht mooi aan iedereen aan het vertellen dat je zoveel op andermans toetsen mag dubbelklikken als je wil, je krijgt ze toch nooit open...

Tot ik zag, dat je bij de eigenschappen van die netwerkshare gewoonweg jezelf op 'Volledig Beheer' kon zetten, zonder dat er een error of toegang geweigerd kwam.

Ik kon dus, grappig genoeg, ineens toetsen openen, aanpassen, naam veranderen, verwijderen, enz.

En daar stonden dus alle toetsen van de school op

Mooi eventjes laten zien aan informatica leerkracht, die, na heel verbaasd te hebben gekeken, toch moest toegeven dat het een heel erge fout was... $_/-\o_$

Ik zal nooit zijn gezicht vergeten

Verwijderd @_JGC_ • 6 juni 2008 12:53

Je geeft zelf al aan dat het ook op de corerouter stond, je was dus wel degelijk opzoek naar meer mogelijkheden.

Je deed het bewust, dus wellicht ga je de volgende keer weer wat verder dan alleen de corerouter te checken.

Verwijderd @Verwijderd • 6 juni 2008 13:47

Rutger, ik zie je probleem niet. Als je verstand hebt van sloten, en iemand zegt dat ie (belangrijke!) gegevens van jou 'volstrekt veilig' opslaat, dan is het toch volstrekt logisch dat je kijkt of er inderdaad een deugdelijk slot op zit?

Cameleon73 @Verwijderd • 6 juni 2008 11:58

Da's niet wat _JGC_ zegt. Hij ziet een mogelijk lek en controleert daarna of dit werkelijk uitgebuit kan worden.

Serendipity @Prulleman • 6 juni 2008 10:58

nee yoh! dat doet iedereen altijd! alleen hij had geluk iets te vinden^^...

Nee ik ben blij dat er dit soort mensen zijn zodat die lekken gedicht kunnen worden en dat hij er niks slechts mee heeft gedaan ofzo...

Verwijderd 6 juni 2008 11:38

Het desbetreffende item is ook te zien op youtube:
http://www.youtube.com/watch?v=y_GGASj5jzE

dasiro 6 juni 2008 10:48

het is voor hem maar te hopen dat eens hij in indonesie zit (als zijn visum wordt goedgekeurd) dat ze hem niet in een cel steken.

BlueKeenan @dasiro • 6 juni 2008 10:50

Ben maar blij dat er dit soort mensen zijn, als deze er niet waren zouden er meer lekken zijn en liggen je eigen gegevens zo op straat.

Dus ik ben nog altijd blij dat er mensen zijn die dit soort veiligheidslekker opspoort.

CherandarGuard @BlueKeenan • 6 juni 2008 10:54

Dat wil nog niet zeggen dat de Indonesische authoriteiten er net zo blij mee zijn.

Zyppora @CherandarGuard • 6 juni 2008 11:32

Da's dan vette pech voor die authoriteiten, hadden ze de beveiliging van die website maar scherper moeten stellen. Nu weten ze ten minste waar het lek zich bevindt. Wie weet hoeveel van die persoonsgegevens ze al niet kwijt zijn aan minder bonafide mensen die dit lek ook gevonden hadden? Mensen die dit onder de (media) aandacht brengen zijn de helden van het internet als je het mij vraagt. Er is niets zo erg als een website met brakke beveiliging die persoonsgegevens opslaat (en ze dus publiekelijk beschikbaar maakt).

Kevinp @Zyppora • 6 juni 2008 11:40

zeg dat maar tegen de autoriteiten als ze hem wel vast zetten. Dat is hetzelfde als wanneer je ziet dat iemand doorrijd terwijl je voorang hebt.
wanneer je jezelf de kreupels in rijd kan je wel zeggen "maar ik was niet fout". nuttig dus niet echt.

Wel goed hoe hij het heeft gedaan daar niet van. Maar soms doe je de goede dingen terwijl ze je geen voordeel opleveren.

Zyppora @Kevinp • 6 juni 2008 13:50

Of het voordeel oplevert of niet, doet niet ter zake. Wat had hij dan moeten doen? Zijn mond houden? Ook geen voordeel. Zijn mond houden en de persoonsgegevens het zwarte circuit in sluizen? Hey, daar is wel een slaatje uit te slaan. Misschien was dat wel wat hij moest doen.

Ik snap wat je bedoelt, maar dat neemt niet weg dat hij (imho) gewoon een held is. Die zie je niet vaak, en zeker niet op zoiets abstracts en anoniems (voor zover dat nog kan in deze tijd) als het internet. Dat dat niet op prijs gesteld wordt is kortzichtigheid. Die mensen (de authoriteiten) moesten maar eens hard nadenken over de gevolgen van de alternatieve opties die deze klokkenluider had.

Verwijderd @BlueKeenan • 6 juni 2008 10:56

Orne heeft idd keurig netjes eerst de ambassade, stichting persoonsgegevens, de hoster etc op de hoogte gesteld om het lek te dichten. Jammer dat ze bij de ambassade niet echt actie wilde nemen, maar wat media aandacht helpt daarbij natuurlijk altijd!

analog_ @BlueKeenan • 6 juni 2008 12:21

Wie weet was er iemand eerder en heeft die heeft zijn ontdekkingen niet wereldkundig gemaakt.

Hot Pixel 6 juni 2008 11:19

Allicht is 'toevallig' in deze context spreektaal? Net zoiets als zeggen "heeft u toevallig nog een kopje koffie voor me?".
Lekker belangrijk. Je kunt je überhaupt afvragen of er zoiets bestaat als 'toeval', of dat ons brein bezig is met patronen zoeken en als we die gevonden hebben toeval noemen.
ok ontopic.

Wel slordig gedaan zeg... maar is dit een officiële regeringssite of een site die een api oid gebruikt?

Cameleon73 6 juni 2008 12:02

Voor diegene die niet denken dat dit toeval kan zijn, het volgende scenario:

Stel je zit een artikel te lezen en wilt naar de volgende pagina. De link levert helaas een 404 op, maar je ziet in de adresbalk de URL www.nieuws.nl/artikel?page=1 staan. Zou je dan niet de www.nieuws.nl/artikel?page=2 URL proberen?

[Reactie gewijzigd door Cameleon73 op 26 juli 2024 15:12]

Verwijderd @Cameleon73 • 6 juni 2008 12:14

Waarom moeilijk doen als het makkelijk kan,
http://life.tweakers.net/nieuws/53852 (dit bericht, de titel is alleen voor de netheid en de indexering) veranderen naar http://life.tweakers.net/nieuws/1.

Id's in de url balk is sowieso link want zoals het artikel al aangeeft is de kans dat iemand je site gaat harvesten heel groot.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 15:12]

neothor @Verwijderd • 6 juni 2008 12:42

Dat maakt het niet makkelijker. Hoe wil je dan achterhalen welk artikel opgehaalt moet worden? Hoe moeten mensen de url doorgeven aan anderen?

Verwijderd @Verwijderd • 6 juni 2008 14:01

Jammer dat onderaan die pagina staat:

"Op dit item kan niet meer gereageerd worden."

Ik zou het wel grappig vinden als mensen er eens in de zoveel tijd per ongeluk op terechtkomen en er al dan niet een boodschap achterlaten. Het topic zelf stijgt zo boven zichzelf uit, is als het ware zijn eigen onderwerp geworden. Of zo.

Geweldig toch, iemand die 20 dagen na een reactie roept: "Dennis, jij hier. Geinig"

jaja, dat het voor modders een crime is snap ik ook wel, maar 1 uitzondering kan toch wel?

Gepetto @Verwijderd • 6 juni 2008 16:43

Die uitzondering bestaat al. Er is namelijk een heel oud topic waar nog wel op gereageerd kan worden, hoewel nieuwe berichten na korte tijd wel verwijderd worden volgens mij.

Welk topic dat is, is irrelevant

maar als je de moeite neemt om de FAQ's goed te lezen kom je er vanzelf wel achter.

aKeY 6 juni 2008 12:53

Zo heb ik ooit (heeeeel vroeger) een lekje ontdekt in de website van symantec (dirlisting stond aan..) en kon toen gewoon lekker browsen en een exchelsheet met NAW gegevens van 100den klanten downloaden... toen maar netjes een mailtje gestuurd en het probleem werd meteen opgelost... wel grappig nu dat ik er zo aan terug denk

Naatan 6 juni 2008 15:53

sql code in javascript? Dan vraag je er ook gewoon om...

Benieuwt of ie zijn VISA nog gaat krijgen

Verwijderd @Naatan • 6 juni 2008 17:36

sql code in javascript? Dan vraag je er ook gewoon om...

Benieuwt of ie zijn VISA nog gaat krijgen

Hmm... ik denk niet dat er sql in javascript is gebruikt

Ze bedoelen dat elke PDF download URl een id bevatte en als je die veranderde dat je dan iedere PDF kan downloaden.

Verwijderd 6 juni 2008 10:47

Dit is absoluut niet de enige site die dit gebrek vertoont...

? ? @Verwijderd • 6 juni 2008 11:22

En net daarom is het beangstigend dat de overheid allerhande informatie van z'n burgers bijhoudt of wil bijhouden:
- internet verkeer
- digitale tv verkeer
- telefoon verkeer en dus ook locaties
- geïntegreerd patientendossier
- voorstel tot bijhouden alle vingerafdrukken vanaf 2009 (?) in NL

Op zich al bedenkelijk, maar ze verliezen nu al usb sticks en laptops. En er moet maar 1 hacker goed zijn en hij heeft alle vingerafdrukken van elke Nederlander. Of weet men elke ziekte die iemand ooit had, waar je allergisch voor bent, ... Allemaal in 1 centrale database die via internet toegankelijk is (keylogger of trojan op politiepc en je bent binnen).

Hoe meer informatie er wordt opgeslagen, des te gevaarlijker. Eigenlijk is het een mooie paradox: men slaat al die info op onder het mom van terrorisme en onze veiligheid. Terwijl men ons net veel onveiliger maakt.

[Reactie gewijzigd door ? ? op 26 juli 2024 15:12]

Gert @? ? • 6 juni 2008 14:48

Het is niet zo heel moeilijk dit soort gegevens anoniem op te slaan, net als met creditcard gegevens gebeurt. Eén systeem mag nooit alle data bevatten.

Verwijderd @Gert • 7 juni 2008 13:55

Zou inderdaad niet mogen; maar dat wil niet zeggen dat het niet gebeurt.
En het is inderdaad op zich niet moeilijk om het anoniem op te slaan; maar wie zeg dat dat anoniem gebeurt....
Zeker bij vastleggen email-recordrs is er weinig anoniem: de afzende zou je evt, nog kunnen vervangen door een (semi) anonieme code (bij opslaan verzonden berichten), maar als je dan ff browst door de bestemmingen en je kan vaak de afzender redelijk precies achterhalen...

Een UB stick KAN je ook vrij eenvoudig beveiligen en de data versleutelen; maar de sticks die het leger en de voorloper van de AIVD kwijt raakten waren gewoon leesbaar.

IStealYourGun @Verwijderd • 6 juni 2008 11:25

Zeker en vast, je zou er van versteld staan hoeveel website gevoelig zijn voor een sql aanval, ondermeer de website van Coca Cola Light en hun fasion wedstrijd. Als je een ' in je naam plaatste (of in mijn geval gedoemd bent te hebben) dan kreeg je steeds een nieuwe code en kon je onbeperkt spelen.

Ze is er pas uitgehaald nadat ik na poging 200 een prijs had gewonnen, spijtig genoeg niet de hoofdprijs

roy-t @ThE_ED • 6 juni 2008 12:37

volgens zijn blog via zijn profiel is zijn achternaam D'haese dus van daar

Verwijderd @ThE_ED • 6 juni 2008 13:47

Nee...

http://xkcd.com/327/

Op dit item kan niet meer gereageerd worden.

Student ontdekt lek in visumaanvraagsysteem Indonesië

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: