'Telefoonnummers Lebara waren over te nemen via gat in verificatie'
Het was een tijdlang mogelijk om telefoonnummers van Lebara over te nemen door een gat in de procedure waarmee je een nummer naar een andere simkaart kunt overzetten, schrijft de NOS donderdag op basis van eigen onderzoek.
Een woordvoerder van Lebara bevestigt het probleem. De getroffen module werd echter "vijftien minuten nadat de NOS belde" offline gehaald en het probleem is inmiddels opgelost.
"We hebben onderzoek gedaan en voor zover wij kunnen zien, zijn er niet daadwerkelijk nummers mee gestolen", zegt de woordvoerder. Zowel de woordvoerder als de NOS meldt dat het gaat om een gecompliceerde truc die niet zomaar te ontdekken was.
Als een gebruiker zijn Lebara-nummer wil overzetten van de ene simkaart naar de andere, moet hij via de website twee keer een verificatiecode per sms aanvragen. Een van die codes loopt via de oude simkaart, de ander via het tijdelijke nummer op de nieuwe. Het bleek echter mogelijk om een nummer over te zetten door de code op de oude simkaart te negeren en twee keer een verificatiecode in te tikken die was verstuurd naar de nieuwe.
Dat is gevaarlijk, want als een derde erin slaagt een telefoonnummer over te nemen, kan hij onder andere verificatie-sms'jes onderscheppen of wachtwoordherstel via sms aanvragen. Ze kunnen zo bijvoorbeeld geld stelen of socialemedia-accounts overnemen.
"Wij betreuren het dat dit kon gebeuren", zegt de woordvoerder. "Wij zetten veiligheid voorop."