Bug in Lebara-website maakte stelen van andermans nummer mogelijk

Bug in Lebara-website maakte stelen van andermans nummer mogelijk

Virtuele provider Lebara maakte het de afgelopen tijd erg gemakkelijk voor kwaadwillenden om telefoonnummers van nietsvermoedende slachtoffers over te nemen. Een bug op de site van Lebara zorgde dat zonder de juiste verificatiestappen alsnog nummers over te nemen – volgens Lebara is het lek niet misbruikt.

Telefoonnummers overhevelen

Middels een formulier op de website van virtuele provider Lebara was het voorheen mogelijk om telefoonnummers tussen twee simkaarten te wisselen. Voor dit proces was het in principe vereist om beide simkaarten in bezit te hebben: er zou tijdens het proces namelijk gevraagd worden om twee sms-verificatieberichten te ontvangen. Eén op de oude simkaart waar het nummer vandaan gehaald zou worden, en één op de nieuwe simkaart. In de praktijk bleek dit proces te omzeilen, zo schrijft de NOS.

In plaats van de verificatieberichten op de twee losse simkaarten te ontvangen, lukte het de NOS om beide verificatieberichten op de nieuwe simkaart te ontvangen. Op die manier zou het mogelijk zijn geweest om een simkaart van een nietsvermoedend slachtoffer over te nemen. In drie gevallen wist de NOS een telefoonnummer succesvol over te zetten, zonder dat er een bericht was verstuurd naar de simkaart waar het nieuwe nummer aan gekoppeld was.

Gevaren van de Lebara-bug

Hoewel de bug van Lebara in eerste instantie ongevaarlijk lijkt, kan het veel implicaties hebben voor slachtoffers waarvan de telefoonnummers worden overgenomen. Na de overname van het nummer komen de sms’jes die bedoeld zijn voor het slachtoffer namelijk terecht bij de kwaadwillende. Als je telefoonnummer gekoppeld is aan je PayPal-account, dan zou het er eventueel toe kunnen leiden – mits deze persoon ook toegang heeft tot je wachtwoorden – dat er geld overgeboekt kan worden.

Het proces waarin telefoonnummers worden overgenomen staat bekend als ‘simswap’; meestal zijn dit gerichte acties, bijvoorbeeld op mensen waarvan de kwaadwillende al details in handen hebben. Naast dat het je geld kan kosten, krijgen kwaadwillende middels je nummer wellicht toegang tot je persoonlijke gegevens en kan er sprake zijn van impersonatie: ze doen zich dan voor als jou en zijn op die manier uit op geld van de contactpersonen die jou vertrouwen.

Lebara-formulier is offline

Lebara heeft in een reactie tegenover de NOS de bug in het systeem toegegeven: het proces van het overzetten van nummers door de redactie van de NOS bleek geslaagd te zijn. Nadat er melding was gedaan bij de virtuele telecomprovider is het “zo snel mogelijk opgelost”, meldt een woordvoerder van de provider. De provider ziet de melding naar eigen zeggen als “wake-upcall” en zegt dat het “niet meer moet kunnen gebeuren”.

De bug, die van toepassing was op zowel prepaid als abonnements-simkaarten, heeft volgens Lebara niet geleid tot slachtoffers. Of Lebara van plan is om een onderzoek in te stellen naar aanleiding van dit probleem, is nog onbekend. Met dit soort fouten in het achterhoofd, is het verstandig om zoveel als mogelijk af te stappen van sms-verificatie. Vrijwel alle belangrijke diensten bieden ondersteuning voor authenticatie-apps, zoals Authy of Google Authenticator.

Door authenticatie-apps als Authy te gebruiken voor verificatie, voorkom je dat kwaadwillenden met toegang tot je telefoonnummer ook toegang tot al je beveiligde diensten kunnen krijgen. Wat vind jij van de reactie van Lebara? Zou jij nog klant willen worden van zulke providers nadat zulke fouten in het systeem opduiken? Laat het ons weten in de reacties onderaan het artikel.

Plaats reactie

666

0 reacties

Meest gelezen

Google Maps' donkere thema nu beschikbaar, zo activeer je het

Het donkere thema voor Google Maps is vanaf nu te vinden in de Android-app. De donkere tint is automatisch actief als je een...

Zo laat je smart speakers een bericht omroepen in je huis

Wie slimme speakers of een smart display heeft, kan die gebruiken  - of ook wel misbruiken - om boodschappen om te roepen doo...

OPPO X 2021 hands-on video: zo rol je een telefoon op

Vanochtend kregen we de kans om de concepttelefoon van het moment te bekijken, de OPPO X 2021. Dit is een oprolbare telefoon...

OPPO X 2021 hands-on: OPPO's antwoord op de vouwbare telefoon rolt

OPPO werkt aan een hele interessante vouwbare telefoon die je eigenlijk geen vouwbare telefoon kan noemen. Androidworld mocht...

'Samsung Galaxy A22 onderweg: goedkope 5G-telefoon'

Samsung werkt aan een Galaxy A22, dat is een goedkope smartphone die snel 5G-internet ondersteunt. De telefoon komt uit in Eu...

Samsung is vroeg: Galaxy Tab S6 ontvangt nu al Android 11 in Duitsland

Het lijkt erop dat bij Samsung alle ogen gericht zijn op het uitbrengen van updates en in enkele gevallen ook sneller dan gec...

WhatsApp werkt aan afbeeldingen die uit zichzelf verdwijnen

WhatsApp krijgt een nieuwe functie die je afbeeldingen laat versturen die automatisch weer verdwijnen. Je kan ze eenmaal beki...

'Bedien Google TV straks met je telefoon als afstandsbediening'

Je zal binnenkort Google TV kunnen bedienen met je smartphone als afstandsbediening. Google werkt aan zo'n functie, dat blijk...

Interessante artikelen in Chrome later offline lezen? Zo doe je dat

Als je webpagina's later offline wilt lezen, omdat je even geen tijd of internet hebt, dan kun je ze van tevoren downloaden i...

Onderzoek: 'Gebruikers hebben het minst vertrouwen in Facebook en TikTok'

Amerikanen hebben het minste vertrouwen in de bedrijven TikTok en Facebook. De techbedrijven Google en Amazon slagen er dan w...

Lees meer

Net binnen

Interessante artikelen in Chrome later offline lezen? Zo doe je dat

Als je webpagina's later offline wilt lezen, omdat je even geen tijd of internet hebt, dan kun je ze van tevoren downloaden i...

'Bedien Google TV straks met je telefoon als afstandsbediening'

Je zal binnenkort Google TV kunnen bedienen met je smartphone als afstandsbediening. Google werkt aan zo'n functie, dat blijk...

Onderzoek: 'Gebruikers hebben het minst vertrouwen in Facebook en TikTok'

Amerikanen hebben het minste vertrouwen in de bedrijven TikTok en Facebook. De techbedrijven Google en Amazon slagen er dan w...

OPPO X 2021 hands-on video: zo rol je een telefoon op

Vanochtend kregen we de kans om de concepttelefoon van het moment te bekijken, de OPPO X 2021. Dit is een oprolbare telefoon...

'Samsung Galaxy A22 onderweg: goedkope 5G-telefoon'

Samsung werkt aan een Galaxy A22, dat is een goedkope smartphone die snel 5G-internet ondersteunt. De telefoon komt uit in Eu...

Lees meer