Telefoonnummers van klanten van telecomprovider Lebara waren door een kwetsbaarheid in de website van het bedrijf door iedereen over te nemen. Dat meldt de NOS na te zijn ingelicht door een anonieme tipgever. Lebara biedt klanten de mogelijkheid om hun telefoonnummer op een nieuwe simkaart over te zetten, bijvoorbeeld omdat die niet geschikt is voor 4G. Dit gebeurt via een 'sim swap'.

Tijdens dit proces wordt gecontroleerd dat de klant zowel over de oude als de nieuwe simkaart beschikt, waarbij er een code moet worden ingevoerd die via sms naar de oude simkaart wordt gestuurd. De stap waarmee werd geverifieerd dat de aanvrager over de oude simkaart beschikte bleek op de nieuwe simkaart te kunnen worden uitgevoerd. Een aanvaller had zodoende de simkaart van zijn slachtoffer niet nodig om diens telefoonnummer over te kunnen nemen.

Nadat het telefoonnummer op de nieuwe simkaart was overgezet had de aanvaller namens het slachtoffer gesprekken kunnen voeren of tweefactorauthenticatiecodes kunnen aanvragen die via sms worden verstuurd. DigiD biedt bijvoorbeeld tweefactorauthenticatie via sms. In het geval een aanvaller op het account van een slachtoffer zou willen inloggen had hij ook over diens inloggegevens moeten beschikken.

De aanval werkte alleen bij klanten van Lebara. Het was niet mogelijk om telefoonnummers van andere telecomproviders te stelen. Na te zijn ingelicht heeft Lebara de overstapmodule uit de lucht gehaald en het probleem verholpen. De telecomprovider laat aan de NOS weten dat er geen aanleiding is om aan te nemen dat er misbruik van de kwetsbaarheid is gemaakt.