FahrlÀssiger Umgang mit Daten von Visa-Antragstellern
Eine indische Firma, die im Auftrag der britischen Einreisebehörden online Daten von Visa-Antragstellern gesammelt hat, zeigte einen erschreckend fahrlÀssigen Umgang mit den Daten.
Die von britischen Behörden beauftragte indische Firma Visa Facilitation Services (VSF) zeigte einen erschreckend fahrlĂ€ssigen Umgang mit vertraulichen Daten von Visa-Antragstellern. Die Firma betrieb seit September 2004 einen Web-Service, ĂŒber den in Nigeria, Russland und Indien Visa-AntrĂ€ge fĂŒr die Einreise nach GroĂbritannien gestellt werden konnten. VSF sammelte die online eingegebenen persönlichen Daten der Antragsteller ein und leitete sie an die zustĂ€ndige Stelle UKvisas [1] des Foreign and Commonwealth Office weiter. Durch einfache Mittel sei es Fremden möglich gewesen, die persönlichen Daten von Antragstellern einzusehen, berichtet heise Security UK [2] ĂŒber die Ergebnisse einer Untersuchung der unabhĂ€ngigen UKvisas-Aufseherin [3] Linda Costelloe Baker.
Allein in Indien werden jĂ€hrlich 470.000 Visa-AntrĂ€ge fĂŒr die Einreise nach GroĂbritannien gestellt, 50.000 davon online, heiĂt es in dem Bericht. Im Dezember 2005 sei es einem indischen Nutzer gelungen, durch einfache VerĂ€nderung einer User-ID in der URL der Website an Informationen ĂŒber andere Nutzer zu gelangen. Er habe VFS und die British High Commission darĂŒber informiert, aber keine Antwort erhalten. Ăhnliches wird in zwei FĂ€llen aus Nigeria berichtet. Im Mai dieses Jahres schilderte der Inder das Problem in einem Blog und wandte sich in einer Beschwerde an den britischen Security Service (MI5). Kurze Zeit spĂ€ter bekam ein Journalist Wind von der Angelegenheit und stellte fest, dass anderthalb Jahre nach der ersten Beschwerde der Fehler immer noch nicht verbessert worden war. Nun erst wurden auf Anweisung von UKvisas die betreffenden Webseiten vom Netz genommen.
Dem unabhĂ€ngigen Bericht [4] ist zu entnehmen, dass VFS eine Reihe von NachlĂ€ssigkeiten begangen hat. Beispielsweise wurden die IDs fĂŒr Visa-AntrĂ€ge sequentiell vergeben und das Session Management habe es ermöglicht, die URL zu manipulieren, um an Daten heranzukommen, die in nicht gelöschten temporĂ€ren Dateien abgespeichert waren. Zudem sei die SQL-Datenbank des Antragssystems weitgehend ungesichert gewesen und offen fĂŒr SQL Injections. Das Passwort-Management sei fahrlĂ€ssig gehandhabt worden und Skype sowie Web-Mail auf der Maschine mit der Firewall-Managementkonsole betrieben worden.
Im Verlauf der Untersuchung sei der Verdacht aufgekommen, dass das System nie getestet worden sei, heiĂt es in dem Bericht. Das VFS-Online-System sei so armselig, dass es komplett neu erstellt werden mĂŒsste. Mittlerweile habe VFS eingesehen, dass sie keine IT-Firma ist und die Software-Entwicklung auslagern mĂŒsse. Costelloe Baker hatte das Office of Government Commerce um eine Untersuchung der Auftragsvergabe von UKvisas an VSF gebeten. Nach Sichtung der Ergebnisse kommt die Aufseherin zu dem Schluss, dass bereits bei der Auftragsvergabe grundlegende Regeln nicht eingehalten worden seien. (anw [5])
URL dieses Artikels:
https://www.heise.de/-162804
Links in diesem Artikel:
[1] http://www.ukvisas.gov.uk
[2] http://www.heise-security.co.uk/news/94285
[3] http://www.ukvisas.gov.uk/servlet/Front?pagename=OpenMarket/Xcelerate/ShowPage&c=Page&cid=1070037788863
[4] http://www.fco.gov.uk/Files/kfile/IndependentInvestigation26July2007.pdf
[5] mailto:anw@heise.de
Copyright © 2007 Heise Medien