Door een foutje in de website van Lebara kon iedereen telefoonnummers van klanten van die provider overnemen. Dat blijkt uit onderzoek van de NOS na een tip van een bron die anoniem wil blijven.
Lebara bood klanten de mogelijkheid om hun telefoonnummer naar een andere simkaart te verplaatsen, maar dat proces bleek niet goed te zijn afgedicht. Daardoor konden ook nummers van andere klanten naar een nieuwe Lebara-simkaart worden verplaatst.
Na melding door de NOS is het beveiligingsprobleem opgelost. "Veiligheid staat bij ons voorop, dus we hebben het zo snel mogelijk opgelost", laat een woordvoerder weten. Volgens de provider is er "geen enkele aanleiding" om aan te nemen dat er misbruik is gemaakt van het lek. Het probleem speelde zowel bij prepaid-simkaarten als bij abonnementen.
Lebara is een zogenoemde virtuele provider, zonder eigen netwerk. Naar eigen zeggen heeft de provider ruim 800.000 klanten. De provider manifesteert zich onder meer met lage internationale tarieven.
Sms'jes ontvangen
Als je iemands telefoonnummer overneemt, kun je gesprekken namens iemand voeren en zijn of haar sms'jes ontvangen.
Dat laatste is een groot risico: veel websites gebruiken een sms'je als extra beveiligingsmaatregel. Als je moet inloggen, moet je een code invoeren die je per sms krijgt. Als je iemands telefoonnummer overneemt, krijg je die codes ook.
Op die manier zou je iemand gericht kunnen aanvallen. Je zou dan wel nog via een andere methode iemands wachtwoord moeten achterhalen. Als dat lukt, zou je bijvoorbeeld op iemands e-mailaccount kunnen inloggen of bijvoorbeeld bitcoins kunnen stelen.
Verificatiestap
Het inmiddels opgeloste probleem werd ontdekt door de tipgever die de NOS contacteerde. Hij merkte dat hij een verificatiestap bij het overzetten van een Lebara-nummer kon overslaan.
De NOS lukte het vervolgens drie keer om een telefoonnummer dat al in bezit was van de NOS, over te zetten naar een nieuwe simkaart.
Voor het overzetten van een simkaart heb je twee simkaarten nodig: de oude, met het over te zetten nummer, en een nieuwe, met een tijdelijk nummer. Je moet eigenlijk van beide simkaarten bevestigen dat je ze in je bezit hebt, door een code over te tikken die per SMS wordt verzonden. Op die manier moet worden voorkomen dat je andermans telefoonnummer overneemt.
Maar het bleek ook mogelijk om de verificatie twee keer op de nieuwe simkaart uit te voeren, en geen enkele keer op de over te nemen simkaart. Vervolgens werd het nummer zonder problemen overgezet, bevestigt Lebara. "Dat is natuurlijk heel vervelend."
De provider haalde de overstapmodule na melding door de NOS meteen uit de lucht en loste het probleem daarna op. "Het is een wake-upcall", laat de woordvoerder weten. "Het zou niet meer moeten kunnen gebeuren."