De bekende Belgische beveiligingsonderzoeker Inti De Ceukelaire heeft bij de Belgische privacytoezichthouder GBA een officiële klacht ingediend over Orange Belgium. Aanleiding is berichtgeving van het telecombedrijf over een datalek waarbij de gegevens van 850.000 klanten werden gecompromitteerd. Het gaat om namen, telefoonnummers, simkaartnummers, pukcodes en tariefplannen. De Ceukelaire is één van de slachtoffers van wie de gegevens zijn gelekt.

Volgens de onderzoeker maakt Orange Belgium gebruik van "achterbakse communicatietrucs" door eerst te melden wat er niet is gestolen. Daarnaast gebruikt het telecombedrijf de titel "Orange Belgium informeert zijn klanten over een cyberaanval". Omdat het vanuit de derde persoon is geschreven is het eenvoudiger voor de pers om het onaangepast over te nemen, aldus De Ceukelaire. Daarnaast richt de titel zich op een actie die Orange onderneemt. Zo ligt de nadruk op informeert, wat een positieve klank heeft.

Orange Belgium plaatste ook de opmerking "Er is tot op heden geen enkel bewijs dat de geraadpleegde gegevens verspreid werden." Deze tekst werd een paar uur later, nadat de pers het bericht had opgepikt, verwijderd, gaat De Ceukelaire verder. De onderzoeker berichtte hierover en inmiddels is de tekst weer teruggeplaatst. Verder hekelt De Ceukelaire ook het gebruik van de term "cyberaanval" in plaats van "datalek", aangezien het eerste woord doet voorkomen dat het bedrijf slachtoffer is geworden, terwijl de term datalek allerlei regelgevende gevolgen kan hebben.

Orange Belgium stelt ook dat de aanvaller de gegevens heeft "geraadpleegd" en spreekt niet over "gestolen". Daarnaast claimt het telecombedrijf dat er geen "kritieke gegevens gecompromitteerd" zijn. De criminelen hebben echter ook simkaartnummers en pukcodes bemachtigd, die te gebruiken zijn voor een sim-swap waarbij een crimineel het telefoonnummer van een slachtoffer op een eigen simkaart overzet. Volgens de onderzoeker zijn deze gegevens over het algemeen lastig voor aanvallers om te stelen.

De Ceukelaire stelt afsluitend dat er niet van bedrijven kan worden verwacht dat ze niet te hacken zijn, maar moeten bedrijven hun verantwoordelijkheid niet op hun klanten afschuiven. Bedrijven die dit wel doen moeten door het publiek tot de verantwoording worden geroepen, aldus de onderzoeker. "Alleen door ons uit te spreken kunnen we ervoor zorgen dat de PR-industrie zijn strategie herziet en eerlijkheid boven ontkenning plaatst."

De onderzoeker voegt toe dat hij aanvullende actie tegen het telecombedrijf heeft ondernomen. "Omdat Orange heeft aangetoond dat het niet te vertrouwen is, zal ik een officiële klacht bij de Gegevensbeschermingsautoriteit indienen en volledige transparantie eisen over wat er echt is gebeurd." Orange Belgium wilde tegenover Het Laatste Nieuws niet reageren op de klacht. Hoe de gegevens konden worden gestolen heeft het telecombedrijf vooralsnog niet bekendgemaakt.