Virtuele provider Lebara maakte het de afgelopen tijd erg gemakkelijk voor kwaadwillenden om telefoonnummers van nietsvermoedende slachtoffers over te nemen. Een bug op de site van Lebara zorgde dat zonder de juiste verificatiestappen alsnog nummers over te nemen – volgens Lebara is het lek niet misbruikt.
Lees verder na de advertentie.
Telefoonnummers overhevelen
Middels een formulier op de website van virtuele provider Lebara was het voorheen mogelijk om telefoonnummers tussen twee simkaarten te wisselen. Voor dit proces was het in principe vereist om beide simkaarten in bezit te hebben: er zou tijdens het proces namelijk gevraagd worden om twee sms-verificatieberichten te ontvangen. Eén op de oude simkaart waar het nummer vandaan gehaald zou worden, en één op de nieuwe simkaart. In de praktijk bleek dit proces te omzeilen, zo schrijft de NOS.
In plaats van de verificatieberichten op de twee losse simkaarten te ontvangen, lukte het de NOS om beide verificatieberichten op de nieuwe simkaart te ontvangen. Op die manier zou het mogelijk zijn geweest om een simkaart van een nietsvermoedend slachtoffer over te nemen. In drie gevallen wist de NOS een telefoonnummer succesvol over te zetten, zonder dat er een bericht was verstuurd naar de simkaart waar het nieuwe nummer aan gekoppeld was.
Gevaren van de Lebara-bug
Hoewel de bug van Lebara in eerste instantie ongevaarlijk lijkt, kan het veel implicaties hebben voor slachtoffers waarvan de telefoonnummers worden overgenomen. Na de overname van het nummer komen de sms’jes die bedoeld zijn voor het slachtoffer namelijk terecht bij de kwaadwillende. Als je telefoonnummer gekoppeld is aan je PayPal-account, dan zou het er eventueel toe kunnen leiden – mits deze persoon ook toegang heeft tot je wachtwoorden – dat er geld overgeboekt kan worden.
Het proces waarin telefoonnummers worden overgenomen staat bekend als ‘simswap’; meestal zijn dit gerichte acties, bijvoorbeeld op mensen waarvan de kwaadwillende al details in handen hebben. Naast dat het je geld kan kosten, krijgen kwaadwillende middels je nummer wellicht toegang tot je persoonlijke gegevens en kan er sprake zijn van impersonatie: ze doen zich dan voor als jou en zijn op die manier uit op geld van de contactpersonen die jou vertrouwen.
Lebara-formulier is offline
Lebara heeft in een reactie tegenover de NOS de bug in het systeem toegegeven: het proces van het overzetten van nummers door de redactie van de NOS bleek geslaagd te zijn. Nadat er melding was gedaan bij de virtuele telecomprovider is het “zo snel mogelijk opgelost”, meldt een woordvoerder van de provider. De provider ziet de melding naar eigen zeggen als “wake-upcall” en zegt dat het “niet meer moet kunnen gebeuren”.
De bug, die van toepassing was op zowel prepaid als abonnements-simkaarten, heeft volgens Lebara niet geleid tot slachtoffers. Of Lebara van plan is om een onderzoek in te stellen naar aanleiding van dit probleem, is nog onbekend. Met dit soort fouten in het achterhoofd, is het verstandig om zoveel als mogelijk af te stappen van sms-verificatie. Vrijwel alle belangrijke diensten bieden ondersteuning voor authenticatie-apps, zoals Authy of Google Authenticator.
Door authenticatie-apps als Authy te gebruiken voor verificatie, voorkom je dat kwaadwillenden met toegang tot je telefoonnummer ook toegang tot al je beveiligde diensten kunnen krijgen. Wat vind jij van de reactie van Lebara? Zou jij nog klant willen worden van zulke providers nadat zulke fouten in het systeem opduiken? Laat het ons weten in de reacties onderaan het artikel.
Reacties
Inloggen of registreren
om een reactie achter te laten
Ik zag in een ander artikel dat het volgens Lebara zelf kwam door een DDOS aanval.
Dus.. een DDOS aanval verandert niets aan je website. Dat is geen hack; het kan helemaal niet de oorzaak zijn. De melding dat “het lek niet is misbruikt” is dus ook maar gebakken lucht. Ze weten waarschijnlijk niet eens hoe ze dat moeten controleren.
Misschien ben je zelf wel een crimineel oud glasblazertje al jaren lid van deze club met sim only nooit problemen gehad
Alleen criminelen sluiten prepaid abonnementen af bij deze provider. Waar je mee omgaat, word je mee besmet. Gewoon geen abonnement bij deze club nemen.