image

Telefoonnummers Lebara-klanten waren door kwetsbaarheid over te nemen

donderdag 14 januari 2021, 22:25 door Redactie, 5 reacties

Telefoonnummers van klanten van telecomprovider Lebara waren door een kwetsbaarheid in de website van het bedrijf door iedereen over te nemen. Dat meldt de NOS na te zijn ingelicht door een anonieme tipgever. Lebara biedt klanten de mogelijkheid om hun telefoonnummer op een nieuwe simkaart over te zetten, bijvoorbeeld omdat die niet geschikt is voor 4G. Dit gebeurt via een 'sim swap'.

Tijdens dit proces wordt gecontroleerd dat de klant zowel over de oude als de nieuwe simkaart beschikt, waarbij er een code moet worden ingevoerd die via sms naar de oude simkaart wordt gestuurd. De stap waarmee werd geverifieerd dat de aanvrager over de oude simkaart beschikte bleek op de nieuwe simkaart te kunnen worden uitgevoerd. Een aanvaller had zodoende de simkaart van zijn slachtoffer niet nodig om diens telefoonnummer over te kunnen nemen.

Nadat het telefoonnummer op de nieuwe simkaart was overgezet had de aanvaller namens het slachtoffer gesprekken kunnen voeren of tweefactorauthenticatiecodes kunnen aanvragen die via sms worden verstuurd. DigiD biedt bijvoorbeeld tweefactorauthenticatie via sms. In het geval een aanvaller op het account van een slachtoffer zou willen inloggen had hij ook over diens inloggegevens moeten beschikken.

De aanval werkte alleen bij klanten van Lebara. Het was niet mogelijk om telefoonnummers van andere telecomproviders te stelen. Na te zijn ingelicht heeft Lebara de overstapmodule uit de lucht gehaald en het probleem verholpen. De telecomprovider laat aan de NOS weten dat er geen aanleiding is om aan te nemen dat er misbruik van de kwetsbaarheid is gemaakt.

Reacties (5)
15-01-2021, 07:02 door Anoniem
2-factor is natuurlijk leuk. Maar maakt dezelfde misser als spoofing: een telefoonnummer is geen identificatie! En daar is het ook nooit voor bedoeld geweest. Derhalve ook niet voor ontworpen.
15-01-2021, 09:18 door Anoniem
De telecomprovider laat aan de NOS weten dat er geen aanleiding is om aan te nemen dat er misbruik van de kwetsbaarheid is gemaakt.

Dit is zo nietszeggend...
Waarom is er geen aanleiding? Er moet altijd onderzocht worden of het misbruikt is. Hebben ze dat gedaan en is er daarom geen aanleiding? Of maken ze aannames?
15-01-2021, 10:06 door Anoniem
Door Anoniem: 2-factor is natuurlijk leuk. Maar maakt dezelfde misser als spoofing: een telefoonnummer is geen identificatie! En daar is het ook nooit voor bedoeld geweest. Derhalve ook niet voor ontworpen.
Die uitspraak is een misser want het spoofen van een afzender nummer is heel wat anders dan het stelen van een
bestemmingsnummer.
M.a.w. het is gewoon gebral van de categorie "alles is lek en niks deugt".
15-01-2021, 10:36 door Anoniem
Door Anoniem: 2-factor is natuurlijk leuk. Maar maakt dezelfde misser als spoofing: een telefoonnummer is geen identificatie! En daar is het ook nooit voor bedoeld geweest. Derhalve ook niet voor ontworpen.
Je authenticeert ook niet met je telefoonnummer,net zoals je niet met je ip-adres authenticeert. Bij OTP over SMS is de smartphone het “iets wat jij alleen hebt” en de manier om dat te bewijzen is de OTP code. Ook cryptografisch sterkere systemen die de 2e factor verzorgen via de smartphone werken nog steeds op hetzelfde principe dat ze het bezit van het apparaat bewijzen door het retourneren van het bewijs. Dat SMS OTP zwak is omdat SS7 nooit ontworpen is met authenticatie in gedachten, wil niet zeggen dat het een veel scenario’s nog best een aanvaardbare methode is en zekere veiliger dan 1FA
15-01-2021, 14:08 door Anoniem
no stress NL1998 vs EU/NL2021 veel stress


The Matrix
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.