Nieuws
image

Orange Belgium voert na datalek extra controle uit tegen sim-swapping

maandag 1 september 2025, 10:32 door Redactie, 2 reacties

Orange Belgium gaat wegens een datalek, waarbij namen, telefoonnummers, simkaartnummers en pukcodes van 850.000 abonnees werden gestolen, een extra controle tegen sim-swapping uitvoeren. Dat laat de Belgische telecomtoezichthouder BIPT weten. Vanwege de gestolen gegevens is er volgens het BIPT een verhoogd risico op sim-swapping, waarbij een aanvaller het telefoonnummer van het slachtoffer kan laten overzetten op een simkaart waarover hij beschikt.

"Eens de oplichter op die manier de controle krijgt over het telefoonnummer, kan hij dat misbruiken voor verdere oplichtingspraktijken waarbij bijvoorbeeld verificatiecodes worden gestuurd via het telefoonnummer (online wachtwoorden veranderen, toegang krijgen tot e-mail accounts, sociale media, betalingssystemen enz.)", aldus de Belgische telecomtoezichthouder. Het BIPT heeft met Orange Belgium en andere telecomproviders overlegd hoe gebruikers kunnen worden geholpen om zich hiertegen te beschermen.

Orange Belgium zal nu bij elk verzoek om een telefoonnummer naar een andere provider over te zetten naar de betreffende abonnee het volgende sms-bericht sturen: "Hallo, we hebben een aanvraag gekregen om je gsm-nummer over te dragen naar een andere operator. Als je dit niet hebt gevraagd antwoord dan met STOP binnen de 8 uur om de aanvraag te annuleren. Anders mag je dit bericht negeren." Het BIPT zegt de uitvoering van deze maatregel periodiek te zullen evalueren en indien nodig te zullen bijsturen.

De toezichthouder benadrukt dat alle eindgebruikers van telecomdiensten, ongeacht hun provider, altijd alert moeten zijn op misbruik via telecomdiensten en verschillende voorzorgsmaatregelen kunnen nemen. "Versterk de beveiliging van je toegang (bijv. dubbele identificatie voor online diensten), wees voorzichtig met persoonlijke en gedetailleerde informatie die op sociale netwerken geplaatst wordt en blijf alert voor verdachte oproepen of berichten."

De bekende Belgische beveiligingsonderzoeker Inti De Ceukelaire besloot onlangs bij de Belgische privacytoezichthouder GBA een officiële klacht over Orange Belgium in te dienen. Aanleiding is berichtgeving van het telecombedrijf over het datalek. Volgens de onderzoeker bagatelliseert Orange Belgium het risico van de gestolen gegevens en wordt de verantwoordelijkheid bij gebruikers gelegd. Daarnaast verwijderde de telecomprovider een verklaring dat er geen misbruik van de gegevens was gemaakt, om die tekst later weer op de eigen website terug te plaatsen.

Reacties (2)
Reageer met quote
01-09-2025, 12:02 door martijnmichiel - Bijgewerkt: 01-09-2025, 12:04
De maatregel van Orange Belgium wordt ten onrechte gepresenteerd als een “extra controle tegen sim-swapping”, terwijl het in werkelijkheid slechts gaat om een passieve notificatie, zonder enige technische vergrendeling of verificatiestap.

Wat Orange presenteert als “extra controle” is géén effectieve beveiligingsmaatregel! De maatregel waarbij een sms wordt gestuurd naar de abonnee zodra een sim-overdracht wordt aangevraagd, wordt gepositioneerd als een bescherming tegen sim-swapping. In werkelijkheid betreft dit enkel een passieve melding zonder verplichte actie of technische blokkade. De abonnee moet zélf binnen acht uur reageren met “STOP” om de overdracht te annuleren. Als men dit bericht mist of niet begrijpt, wordt de overdracht automatisch doorgezet.

Deze aanpak:
• biedt geen actieve blokkering tegen kwaadwillende aanvragen,
• verplaatst de verantwoordelijkheid volledig naar de gebruiker,
• mist robuuste authenticatie zoals biometrische verificatie of fysieke identiteitscontrole,
• en is daarmee onvoldoende als mitigatie tegen gesofisticeerde sim-swap-aanvallen waarbij eerder gelekte data zoals SIM-nummer en PUK al in handen van aanvallers zijn.

Een echte “extra controle” zou minimaal vereisen:
• hard identity binding (ID-verificatie via eID, biometrie, of fysieke aanwezigheid),
• tweevoudige bevestiging via onafhankelijk kanaal (bijv. app of e-mail),
• of een verplicht opt-in mechanisme voor overdrachtsvergrendeling (“SIM lock”).

Veel plezier met IR op deze klus. Views are my own....
Reageer met quote
02-09-2025, 05:39 door Anoniem
Waarom hebben ze er een opt-out optie van gemaakt? Waarom geen instructie als "Als u uw nummer wil overzetten naar een andere operator, reageer dan met IK WIL NU OVERSTAPPEN. Als u dit niet was, maak melding en/of negeer dit bericht"? Er zal vast een goede reden zijn die ik even gemist heb, maar ik begrijp deze keuze niet helemaal. Er bestaan genoeg mensen die op dat moment (nog steeds) niet weten "wat ze moeten doen" en zulke "controle-berichten" negeren totdat het te laat is. Ook als het er heel duidelijk staat, moeten mensen maar weten dat sim-swapping bestaat en dat het zaak is om zsm STOP terug te sturen. En worden de mensen die dat niet weten/doen door deze extra "controle-maatregel" straks zelf verantwoordelijk gehouden als hun gsm-nummer misbruikt is/wordt? "Ja, u bent slachtoffer geworden van een cyberdata-lek dinges, maar u hebt geen STOP naar ons gestuurd, dus we kunnen helaas niks voor u doen"? Op deze manier leg je als provider (de gevolgen van) jouw probleem bij de klant neer en laat je de (weliswaar onwetende) klant hierdoor denken dat het allemaal zijn/haar schuld is als hun gegevens nu misbruikt worden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure