Orange Belgium voert na datalek extra controle uit tegen sim-swapping
Orange Belgium gaat wegens een datalek, waarbij namen, telefoonnummers, simkaartnummers en pukcodes van 850.000 abonnees werden gestolen, een extra controle tegen sim-swapping uitvoeren. Dat laat de Belgische telecomtoezichthouder BIPT weten. Vanwege de gestolen gegevens is er volgens het BIPT een verhoogd risico op sim-swapping, waarbij een aanvaller het telefoonnummer van het slachtoffer kan laten overzetten op een simkaart waarover hij beschikt.
"Eens de oplichter op die manier de controle krijgt over het telefoonnummer, kan hij dat misbruiken voor verdere oplichtingspraktijken waarbij bijvoorbeeld verificatiecodes worden gestuurd via het telefoonnummer (online wachtwoorden veranderen, toegang krijgen tot e-mail accounts, sociale media, betalingssystemen enz.)", aldus de Belgische telecomtoezichthouder. Het BIPT heeft met Orange Belgium en andere telecomproviders overlegd hoe gebruikers kunnen worden geholpen om zich hiertegen te beschermen.
Orange Belgium zal nu bij elk verzoek om een telefoonnummer naar een andere provider over te zetten naar de betreffende abonnee het volgende sms-bericht sturen: "Hallo, we hebben een aanvraag gekregen om je gsm-nummer over te dragen naar een andere operator. Als je dit niet hebt gevraagd antwoord dan met STOP binnen de 8 uur om de aanvraag te annuleren. Anders mag je dit bericht negeren." Het BIPT zegt de uitvoering van deze maatregel periodiek te zullen evalueren en indien nodig te zullen bijsturen.
De toezichthouder benadrukt dat alle eindgebruikers van telecomdiensten, ongeacht hun provider, altijd alert moeten zijn op misbruik via telecomdiensten en verschillende voorzorgsmaatregelen kunnen nemen. "Versterk de beveiliging van je toegang (bijv. dubbele identificatie voor online diensten), wees voorzichtig met persoonlijke en gedetailleerde informatie die op sociale netwerken geplaatst wordt en blijf alert voor verdachte oproepen of berichten."
De bekende Belgische beveiligingsonderzoeker Inti De Ceukelaire besloot onlangs bij de Belgische privacytoezichthouder GBA een officiële klacht over Orange Belgium in te dienen. Aanleiding is berichtgeving van het telecombedrijf over het datalek. Volgens de onderzoeker bagatelliseert Orange Belgium het risico van de gestolen gegevens en wordt de verantwoordelijkheid bij gebruikers gelegd. Daarnaast verwijderde de telecomprovider een verklaring dat er geen misbruik van de gegevens was gemaakt, om die tekst later weer op de eigen website terug te plaatsen.
Wat Orange presenteert als “extra controle” is géén effectieve beveiligingsmaatregel! De maatregel waarbij een sms wordt gestuurd naar de abonnee zodra een sim-overdracht wordt aangevraagd, wordt gepositioneerd als een bescherming tegen sim-swapping. In werkelijkheid betreft dit enkel een passieve melding zonder verplichte actie of technische blokkade. De abonnee moet zélf binnen acht uur reageren met “STOP” om de overdracht te annuleren. Als men dit bericht mist of niet begrijpt, wordt de overdracht automatisch doorgezet.
Deze aanpak:
• biedt geen actieve blokkering tegen kwaadwillende aanvragen,
• verplaatst de verantwoordelijkheid volledig naar de gebruiker,
• mist robuuste authenticatie zoals biometrische verificatie of fysieke identiteitscontrole,
• en is daarmee onvoldoende als mitigatie tegen gesofisticeerde sim-swap-aanvallen waarbij eerder gelekte data zoals SIM-nummer en PUK al in handen van aanvallers zijn.
Een echte “extra controle” zou minimaal vereisen:
• hard identity binding (ID-verificatie via eID, biometrie, of fysieke aanwezigheid),
• tweevoudige bevestiging via onafhankelijk kanaal (bijv. app of e-mail),
• of een verplicht opt-in mechanisme voor overdrachtsvergrendeling (“SIM lock”).
Veel plezier met IR op deze klus. Views are my own....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?