Lebara-website maakte stelen van telefoonnummers andere klanten mogelijk
Door een foutje in de website van Lebara kon iedereen telefoonnummers van klanten van die provider overnemen. Dat blijkt uit onderzoek van de NOS na een tip van een bron die anoniem wil blijven. Lebara bood klanten de mogelijkheid om hun telefoonnummer naar een andere simkaart te verplaatsen, maar dat proces bleek niet goed te zijn afgedicht. Daardoor konden ook nummers van andere klanten naar een nieuwe Lebara-simkaart worden verplaatst.
Na melding door de NOS is het beveiligingsprobleem opgelost. "Veiligheid staat bij ons voorop, dus we hebben het zo snel mogelijk opgelost", laat een woordvoerder weten. Volgens de provider is er geen enkele aanleiding om aan te nemen dat er misbruik is gemaakt van het lek. Het probleem speelde zowel bij prepaid-simkaarten als bij abonnementen.
Als je iemands telefoonnummer overneemt, kun je gesprekken namens iemand voeren en zijn of haar sms'jes ontvangen. Dat laatste is een groot risico: veel websites gebruiken een sms'je als extra beveiligingsmaatregel. Als je moet inloggen, moet je een code invoeren die je per sms krijgt. Als je iemands telefoonnummer overneemt, krijg je die codes ook. Het overnemen van telefoonnummers heet ook wel sim-swapping. In 2018 meldde RTL Nieuws dat het aantal slachtoffers daarvan flink was gestegen. Sommige criminelen met technische vaardigheden zijn er zelfs in gespecialiseerd. Die zogeheten simswappers nemen bijvoorbeeld PayPal-accounts van slachtoffers over, of stelen gevoelige foto's uit iemands Google- of Apple-account. Op die manier zou je iemand gericht kunnen aanvallen. Je zou dan wel nog via een andere methode iemands wachtwoord moeten achterhalen. Als dat lukt, zou je bijvoorbeeld op iemands e-mailaccount kunnen inloggen of bijvoorbeeld bitcoin kunnen stelen.
Het inmiddels opgeloste probleem werd ontdekt door de tipgever die de NOS contacteerde. Hij merkte dat hij een verificatiestap bij het overzetten van een Lebara-nummer kun overslaan. De NOS lukte het vervolgens drie keer om een telefoonnummer dat al in bezit was van de NOS, over te zetten naar een nieuwe simkaart.