Telefoonnummers Lebara-klanten over te nemen door beveiligingslek

Telefoonnummers van klanten van Lebara waren vanwege een kwetsbaarheid in de website van de telecomprovider door iedereen over te nemen. Dat berichtte NOS onlangs.

Klanten van Lebara hebben de mogelijkheid om hun telefoonnummer over te zetten naar een nieuwe simkaart. Bijvoorbeeld omdat deze kaart niet geschikt is voor 4G. Het overzetten gebeurt via een zogenoemde sim swap.

Sim swap

Tijdens deze sim swap wordt gecontroleerd of de klant zowel over de oude als de nieuwe simkaart beschikt. Daarbij dient er een code ingevoerd te worden die via sms naar de oude simkaart wordt verzonden. De stap om te controleren dat de aanvrager over de oude simkaart beschikt, bleek echter op de nieuwe simkaart mogelijk.

Tweefactorauthenticatiecodes

Een kwaadwillende had dus geen simkaart van zijn slachtoffer nodig om zijn telefoonnummer over te nemen. Vervolgens was de aanvaller in staat om namens het slachtoffer gesprekken te voeren of tweefactorauthenticatiecodes via sms aan te vragen. Lebara heeft de overstapmodule inmiddels uit de lucht gehaald en het probleem verholpen. Volgens de telecomprovider zou er geen misbruik zijn gemaakt van het beveiligingslek.

Aanmelden voor onze nieuwsbrief