Indiase visumverstrekker lekt persoonlijke informatie van Nederlanders
Heb je onlangs een visum voor India aangevraagd via de Indiase visuminstantie BLS India? Dan zijn ook jouw gegevens enige tijd inzichtbaar geweest voor andere aanvragers. Het visumaanvraagtraject van de instantie blijkt een ernstig beveiligingslek te hebben bevat.
Tweakers meldt dat het lek is ontdekt door ‘Cyberstalker’, een gebruiker van Tweakers die zijn bevindingen beschrijft op zijn blog. De gebruikers ontdekte dat zodra een aanvraag was afgerond online een afspraakbevestiging werd verstrekt met een oplopend nummeringssysteem. Door dit nummer te wijzigen konden ook aanvragen van andere gebruikers worden ingekeken. Aangezien verlopen afspraken niet werden gewist kon Cyberstalker probleemloos door afspraakbevestigingen van anderen bladeren.
Toegang tot gevoelige informatie
Op de afspraakbevestiging is allerlei informatie over visumaanvragers te vinden. Denk hierbij aan de naam, telefoonnummer en het e-mailadres van gebruikers, maar in sommige gevallen ook paspoortnummers. Daarnaast is ook het ‘Web File No.’ zichtbaar. Door dit nummer in combinatie met het paspoortnummer in te voeren kunnen de volledige aanvraaggegevens van gebruikers worden opgevraagd.
Cyberstalker stelt grote moeite te hebben gehad in contact te komen met BLS India om het probleem te laten oplossen. Het probleem is inmiddels opgelost.