Het recyclen van telefoonnummers zoals telecomproviders doen maakt het mogelijk om accounts van de vorige eigenaar te kapen en andere aanvallen uit te voeren, zo stellen onderzoekers van Princeton University op basis van onderzoek met 259 telefoonnummers van wee grote Amerikaanse telecomproviders. De telefoonnummers waren beschikbaar voor nieuwe abonnees bij de telecombedrijven.

Van de 259 nummers bleken er 171 te zijn gekoppeld aan bestaande accounts bij populaire websites, zoals Amazon, AOL, Facebook, Google, Paypal en Yahoo. Door het nummer te kiezen zou een aanvaller vervolgens een wachtwoordreset kunnen uitvoeren. Verder waren 100 van de 259 telefoonnummers gekoppeld aan gelekte inloggegevens. Op deze manier zou een aanvaller sms-gebaseerde multifactorauthenticatie kunnen omzeilen, aldus de onderzoekers.

Die ontdekten dat negentien van telefoonnummers nog steeds security/privacygevoelige gesprekken en berichten ontvingen, zoals authenticatiecodes en herhaalrecepten voor medicatie. Nieuwe eigenaren die nietsvermoedend een gerecycled telefoonnummer krijgen en dergelijke ongevraagde gevoelige informatie ontvangen kunnen zo in "opportunistische aanvallers" veranderen, zo waarschuwen de onderzoekers.

Naast het overnemen van accounts beschrijven de onderzoekers verschillende andere aanvallen die met gerecyclede telefoonnummers mogelijk zijn, waaronder spam, denial of service-aanvallen, phishing en het verzamelen van persoonlijke identificeerbare informatie.

Volgens de onderzoekers is het belangrijk dat telecomproviders klanten bewust maken en adviseren om hun oude telefoonnummer bij hun accounts te verwijderen. Daarnaast roepen ze online aanbieders en websites op om te stoppen met tweefactorauthenticatie (2FA) via sms, of in ieder geval geen sms voor zowel wachtwoordresets als 2FA te gebruiken.