Het was een tijd mogelijk om telefoonnummers van Lebara over te nemen door een gat in de procedure om een nummer naar een andere simkaart over te zetten. Dat schrijft NOS op basis van eigen onderzoek.
Een woordvoerder van Lebara bevestigt dat er inderdaad een gat was. De getroffen module werd echter “vijftien minuten nadat de NOS belde” offline gehaald en het probleem is inmiddels opgelost.
“We hebben dieper onderzoek gedaan, en zover wij kunnen zien zijn er niet daadwerkelijk nummers mee gestolen”, zegt de woordvoerder. Het zou gaan om een gecompliceerde truc die niet gemakkelijk te ontdekken was.
Als een gebruiker zijn Lebara-nummer over wil zetten van de ene simkaart naar de andere, moet hij via de website twee keer een verificatiecode per sms aanvragen. Een van die codes loopt via de oude simkaart, de ander via het tijdelijke nummer op de nieuwe. Het bleek echter mogelijk om een nummer over te zetten door de code op de oude simkaart te negeren en twee keer een verificatiecode in te tikken met de nieuwe.
Dat is gevaarlijk, want als een derde er in slaagt om een telefoonnummer over te nemen, kan hij onder andere verificatie-sms’jes onderscheppen of een wachtwoordherstel via sms aanvragen. Ze kunnen zo bijvoorbeeld geld stelen of sociale media-accounts overnemen.
“Wij betreuren het dat dit kon gebeuren”, zegt de woordvoerder. “Wij zetten veiligheid voorop.”
