Vanwege een foutje op de website van telefoonprovider Lebara was het een tijd lang mogelijk dat niet alleen Lebara-klanten nummers naar een andere simkaart konden verplaatsen (simswappen) maar iedereen. Dat stelt de NOS op grond van een bron die volgens de omroep anoniem wil blijven.
De provider bood haar klanten de service om hun telefoonnummer over te vetten naar een andere simkaart. De service gold voor alle klanten, ongeacht of ze nu een vast abonnement hadden of prepaid kaart.
Zelf proberen
Na de tip aan de NOS gingen redacteuren het zelf proberen. Het lukte hen drie keer achter elkaar om een bestaand NOS-telefoonnnummer via de site van Lebara naar een nieuwe simkaart over te zetten.
Normaal gesproken heb je als je een simkaart wilt overzetten beide kaarten nodig. De oude kaart heeft het eigen nummer, en het nieuwe beschikt over een tijdelijk nummer. Als alles goed gaat moet de klant voor beide nummer aantonen de bezitter te zijn van beide simkaarten. Je moet dan een code die via SMS komt, overtikken.
Dat ging op de site van Lebara anders. Daar konden klanten de verificatie twee keer uitvoeren op de nieuwe simkaart. De code overnemen op de nieuwe kaart was ook niet nodig, terwijl het nummer dan toch naar de nieuwe kaart werd overgezet.
Daardoor was het voor andere klanten ook mogelijk om hun nummer naar een simkaart van een andere klant van de provider over te zetten. Dat betekende dat klanten op kosten van een ander en namens de ander gesprekken konden voeren en sms-sen van die andere klanten konden ontvangen en versturen.
Dat betekent dus naast risico op identiteitsdiefstal dat degene die het nummer overneemt ook de codes voor tweetrapsauthenticatie kunnen ontvangen. Volgens de provider is dat lek nu gedicht met dank aan de melding van de NOS over de kwestie. De telecomprovider heeft naar eigen zeggen niet gezien dat er misbruik is gemaakt van het lek.
Virtuele provider
Lebara is een provider die geen eigen netwerk heeft: een zogeheten virtuele provider. Het bedrijf heeft iets meer dan 800.000 klanten en stunt vooral met lage tarieven voor internationaal bellen.
Dat simswapping een risico kan zijn was al langer duidelijk. RTL Nieuws liet drie jaar geleden al weten dat het aantal slachtoffers ervan aan het groeien was. Toen al was het volgens de omroep zo dat een aantal technisch vaardige criminelen er hun werk van hebben gemaakt. Deze simswappers kunnen onder andere accounts van PayPal-gebruikers overnemen. Zo kunnen ze ook makkelijk gevoelige foto’s uit een Google- of Apple-account van het slachtoffer stelen en openbaar maken.
Lees ook:
- Tweede veiling snelle mobiele communicatie begin 2022
- Vijf succesvolle methoden om je bedrijfsdata te beschermen
