Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Voicemail Lebara-klanten was te beluisteren door telefoonnummer te spoofen

De mobiele aanbieder Lebara heeft een kwetsbaarheid in zijn voicemailplatform gedicht. Het was mogelijk om voicemailberichten van klanten te beluisteren door een telefoonnummer dat door de virtuele provider is uitgegeven te spoofen.

Lebara werd een aantal weken geleden op de hoogte gebracht van de aanwezigheid van het lek door een beveiligingsdeskundige die zich bezig houdt met phreaking. "Met bijvoorbeeld FreePBX is het mogelijk je telefoonnummer van een simprovider te spoofen. Door de caller line identification aan te passen wijzig je het uitgaande nummer", vertelt de telefoniedeskundige, die niet met naam en toenaam genoemd wil worden.

Bij het spoofen van een Lebara-nummer en vervolgens naar dat nummer te bellen, was het volgens de deskundige mogelijk de voicemail-inbox van klanten te benaderen. Het voicemailplatform meende dus onterecht dat de klant belde. "In plaats van de optie om een bericht in te spreken, kon je de al aanwezige voicemails beluisteren."

Lebara bevestigt tegenover Tweakers dat het lek in het voicemailplatform aanwezig was. "We hebben dit iets meer dan een week na erop gewezen te zijn gedicht. We waren al bezig met een omvangrijke update van het platform, dus onze technici konden dit meteen meenemen", meldt Stefan Brzozowski, managing director bij Lebara. De mvno kan niet zeggen hoe lang de kwetsbaarheid aanwezig is geweest. Bij het bedrijf zijn geen gevallen van misbruik van het lek bekend; in de afgelopen jaren zijn er geen meldingen van klanten over geweest.

De beveiligingsdeskundige heeft de voicemailplatforms van een aantal andere providers getest op aanwezigheid van een vergelijkbaar lek, waaronder KPN en dochteronderneming Telfort, maar deze hier niet aangetroffen.

Door

Nieuwscoördinator

51 Linkedin Google+

Reacties (51)

Wijzig sortering
Kan ook met ABN AMRO. Daar wordt ook geen gedegen CLID uitgevoerd. Iedereen met een VoIP account kan z'n telefoonnummer spoofen en dan het banksaldo van wildvreemden beluisteren.

Het artikel is eigenlijk niet compleet. Iedere VoIP provider kan het nummer spoofen. Dat is niet alleen beperkt tot FreePBX, Broadsoft, Xelion, etc.

[Reactie gewijzigd door Trommelrem op 19 december 2017 18:17]

Dat is vervelend om te lezen. Heb je dit ook al gemeld bij ABN en/of AP? Zou ik anders alsnog doen ;)

Daarnaast vermoed ik dat je provider en software door elkaar haalt, al is het wel in beide gevallen waar, dit is niet gelimiteerd tot FreePBX, dit kan met elke PBX. Ook kan dit inderdaad met elke Switch-aansluiting in het vaste telefonienetwerk.
Ik heb al zo veel gemeld aan de bank. Omdat het vaak infrastructuur van derden betreft, kunnen ze er niets mee.
Afschuiven op derden is geen reden. Die staan onder contract bij ABN en hebben dus ook de plicht hun lekken te dichten wanneer dit een gevaar voor de bank of z’n klanten oplevert. En anders kunnen ze nog naar de rechter om ze te verplichten: schenden van bankgeheim enzo. Het is dus echt een probleem van ABN zelf die niet achter hun verantwoordelijkheden wil staan.
En bij Autoriteit Persoonsgegevens? Vind het trouwens een drogreden, dan moeten ze het gewoon niet aanbieden wat mij betreft. Ook zouden ze om een code kunnen vragen ter verificatie.
Niet waar, niet *iedereen* met een VoIP account kan z'n CLIP spoofen. Er zijn VoIP aanbieders die dat toestaan, maar het is zeker niet zo dat jij met je standaard Budgetphone account zomaar elke CLIP kan meesturen.
Met Skype Out heb ik ook mijn 06 gekoppeld, als ik dan bel ziet de andere mijn normale 06. Volgens mij hoefde ik daar geen bevestiging of iets dergelijks voor te doen, maar dat weet ik niet zeker. Het kan dus wel met een budget oplossing.
Je hebt het wel moeten bevestigen. Volgens mij belt Skype je op je eigen nummer en krijg je dan een code.
Inderdaad, ik kan wel nummers toevoegen voor nummerweergave, maar Skype stuurt een sms met code voor bevestiging. Wel grappig dat je meerdere nummers kunt toevoegen.
Als jij mij kan bellen via skypeout met mijn eigen nummer dan krijg jij een gebakje. Deal?
Klopt, maar er zijn telco's die dat niet toestaan, zoals het zou moeten horen. Het ligt ook niet aan VoIP, ISDN zou immers ook kunnen.

Voys en Tele2 laten het bijv niet toe.
Was er niet een paar jaar geleden ophef over toen je bij Vodafone de voicemail van politici kon beluisteren?
Toen is daar een pincode ingevoerd. Je zou verwachten dat andere providers daar ook op zouden zijn gaan letten.

Artikel gevonden: nieuws: Vodafone dicht spoofing-lek voicemail
Iedereen met een PBX kan dit. Zelfs een hosted omgeving van KPN (Routit in mijn geval). Kwestie van calledID aanpassen. Wanneer gebruik je dit? Als je wil kiezen of je met je werk of mobiel nummer wilt uitbellen. Vamo (vast mobiel) heet dit. Aangezien dit te achterhalen is dmv call logs van de provider is het niet slim om hiermee te spelen
De vraag hier is niet waarom het mogelijk is om toegang te krijgen tot een box met en gespoofd nummer. De vragen moeten zijn:

1. Hoezo laat een VoIP of PBX provider zomaar uitgaand verkeer toe met een gespoofd nummer, cq een nummer wat niet tot zijn netwerk behoort?
2. Hoezo accepteert Lebara verkeer met een gespoofd nummer welke van buiten zijn netwerk komt?
De vraag hier is niet waarom het mogelijk is om toegang te krijgen tot een box met en gespoofd nummer.
Natuurlijk is dat wel de vraag. En het antwoord is: Lebara is zo dom geweest om de toegang tot die box af te laten hangen van een stukje informatie dat notoir onbetrouwbaar is.
Caller ID is een systeem gebaseerd vertrouwen. Men gaat er vanuit dat alle systemen een echt of relevant nummer meesturen. Het is nooit bedoeld geweest als vorm van identificatie. Bovendien wordt dat vertrouwen al jarenlang beschaamt door allerlei callcenters die nepnummers meesturen. Dat is allemaal niet nieuw en telecom provider Lebara had dat moeten weten.
Tja dan kom je toch echt op puntje 2, hoezo accepteren ze dat zomaar?
Ik ben vooral benieuwd hoe ze het hebben opgelost. Al die telefoontechnieken zijn er niet altijd op gebouwd om waterdicht te zijn.
Heel simpel, calls vanuit je eigen netwerk hebben een andere route dan calls van buiten je netwerk. Voor de eerste vraag je geen PIN, voor de 2de wel.
Een call vanuit het eigen netwerk kan nog steeds een gespoofed nummer hebben denk ik?
Bij punt 2 bedoelde ik meer hoe kan lebara herkennen dat een nummer gespoofed is? Een gebruiker kan ook aan het roamen zijn bijvoorbeeld.
Bij roaming ga je nog steeds naar je eigen netwerk. In dit deze situatie kwam de call van buitenaf met je eigen uitgegeven nummer. Dat iemand het nummer weet te spoofen buiten je eigen netwerk, kun je als bedrijf zelf niet veranderen. Wel de controle of het nummer vanaf buitenaf als afzender gebruikt kan worden.
Bij roaming ga je zeker niet standaard 'naar je eigen netwerk'. Een voicecall kan via CAMEL naar huis worden getrokken voor allerhande zaken (realtime billing, prepaid) maar het aantal netwerken dat geen CAMEL ondersteunt of geen overeenkomst met je eigen operator heeft voor CAMEL is significant.
In je eigen netwerk weet je of het nummer wel of niet spoofed is aangezien je weet wie de call plaatst (anders kan je niet factureren).

Als een call met een een nummer van je operator code binnenkomt van buiten je eigen netwerk (bv tgv roaming), weet ik per definitie dat de calls spoofed is (laat ik buiten beschouwing dat er voor roaming calls nog extra nummers aanwezig zijn (tijdelijk nummer van de operator waar de subscriber is)). Maar het is nog veel simpelere, calls van buiten je eigen netwerk zijn altijd untrusted en als die dus naar een voicemail gaan wordt er gewoon altijd om een PIN gevraagd.
Ook bij roaming kan je je nummer niet zomaar spoofen. De home operator bepaalt welk nummer jouw toestel/Sim mee stuurt, ook al zit je op een vreemde vlr/msc.
1: er zijn daadwerkelijk een business cases voor
2: bv roaming
1. Dat is alleen een stukje gemak, zolang een gebruiker niet heeft bewezen dat hij/zij daadwerkelijk dat nummer bezit is er geen enkele reden waarom een provider dat nummer zou routen.
2. Dan zal Lebara er toch voor moeten zorgen dat er een PIN staat op de box, hoezo accepteren ze dat zomaar?
Als we even voor de discussie laten of iets wel of niet "zomaar" is, maar het zou me verbazen als de meestvoorkomende reden om een ander nummer dan die van je eigen mee te willen sturen niet is:

Bij doorschakelingen, bijvoorbeeld voor de verkoper op de weg, vinden mensen het fijn om het nummer te zien van de beller die de reden is dat er überhaupt een doorschakeling plaatsvindt dan het eigen bedrijfsnummer

(maar inderdaad dat moet in "goed overleg"/getekend voor/whatever en niet zomaar)
Freepbx kan dit ondersteunen. Het ligt puur aan je sip provider of die jou de mogelijkheid geeft zelfs een caller id in te stellen. sommigen laten dat onbeperkt toe,bij anderen moet je je nummer laten controleren.
Niets nieuws en kan al heel lang. Heeft dus niets met freepbx te maken.
Met iedere sip telefoon of asterisk software kun je zelf een uitgaan nummer instellen als je uitgaande sip provider dat toestaat.
Vrijwel alle providers van VOIP staan dit toe, en het is ook niet uitsluitend bij FreePBX zoals jij ook al aangeeft. Telefoonnummers spoofen is ook een bekend probleem, in ieder geval bij KPN. Veel telefoonnummers van bijv. Callcenter oplichters gebruiken willekeurig gespoofde nummers. Ik geloof dat dit mogelijk is door de oorsprong van de backbone van het vaste telefonienetwerk.

Mijn bron is van een aantal jaar geleden en kan ik niet meer vinden. Deze sluit wel aan op het idee:
https://www.researchgate....ed_Caller_ID_Transmission

[Reactie gewijzigd door mrdemc op 19 december 2017 18:17]

Een operator is prima in staat om te controleren of nummers wel of niet gezet hadden mogen worden. Nummers zijn immers gekoppeld aan operators en binnen 1 operator is een nummer weer gekoppeld aan klanten. Een veel voorkomende uitzondering is nummerbehoud bij doorschakeling, maar daar zou dan ook een inkomende callleg voor moeten bestaan en dus weer makkelijk te controleren.

Blijft over iets creatiefs als multi operator klanten, daar moet je dan maar een uitzondering voor maken met een mooi contract dat er geen misbruik van gemaakt mag worden.

Er is ondanks enig gebrek aan security in SS7 geen reden om klanten dan maar niet te beperken.
Dit heeft niets met ss7 te maken, wat inderdaad niet heel secure is. Dit gaat over sip aansluitingen.
De strekking van mijn post is dat de "beveiliging" van callerid door operators staat volledig los van gebruikte technieken. De opmerking dat het niet gerelateerd is aan de security van SS7 verwijst naar "de oorsprong van de backbone van het vaste telefonienetwerk".
De gemiddelde consument kan niet zomaar een SS7/ISUP verbinding krijgen. De aanval middels deze weg is dus een stuk theoretischer dan via SIP.
Het zou niet moeten kunnen, net als dat een internet provider ook niet zo moeten toestaan dat source ip adressen originating uit eigen netwerk niet uit je eigen ip range komt.
Dit is volgens mij meer een probleem van Lebara dan van een pbx.
Het ligt er maar net aan hoe de verzendende sip trunk provider met de pakketjes omgaat, afhankelijk daarvan kun je welke soort van notering mee naar buiten sturen.
Ook de ontvangende PBX kan de inkomende nummertjes weer omsmurfen :+ naar een notering die ervoor zorgt dat een gesprek "intern" lijkt.
Als hier fouten in de programmering worden gemaakt of bugs in de PBX software zitten dan worden zaken zoals remote toegang tot je voicemail al onveiliger.
Ongeacht wat de sip trunk toelaat horen dit soort zaken afgeschermd te zijn aan de kant van Lebara dmv een pincode om de voicemail te mogen benaderen.
Als je zelf de pincode verwijderd of 4x0 maakt lijkt me dat je eigen keuze dus geen aansprakelijkheid voor Lebara.
Echter in dit geval lijkt het me gewoon nalatigheid.
Dit is een groot datalek. Is de Autoriteit Persoonsgegevens op de hoogte gesteld?
Inderdaad, de andere vraag die ik heb "Is mijn voicemail afgeluisterd? Ik vind het behoorlijk amateuristisch dat er blijkbaar 3e toegang konden krijgen tot mijn persoonlijke informatie..... Hoelang heeft mijn voicemail opengestaan?
We waren al bezig met een omvangrijke update van het platform, dus onze technici konden dit meteen meenemen
meenemen.. dus die 'omvangrijke update' bevatte dus geen fix voor dit probleem?
Wat is eigenlijk een telefoonummer ?
In de context van dit artikel is het een nummer dat wereldwijd uniek is met als doel tot het opzetten van een audio gebaseerd communicatie pad.
Vanaf onze pabx kon ik naar ons private gsm netwerk van Vodafone (met enkele duizenden gsm's) prima een nep nummer meesturen.
112 bv. De ontvanger zou wel vreemd opkijken, daar niet van...
Maar vodafone heeft dat uiteraard geblokkeerd voor verkeer buiten de private cloud. Dan kwam bij mijn 112 (of 020-1234567 formaat nr) als afzender bij de ontvanger netjes 'onbekend' te staan.

Er was idd altijd gesteggel met Vodafone en ook KPN, over het meesturen van hey originele telefoonnummer dat belde (via een doorgeschakeld intern nr).
Dat kon dan weer niet.
Met als vervelend resultaat dat de collega die een externe persoon (= dus meestal een klant) aan de lijn kreeg, het interne nummer zag, en vaak ook joviaal opnam...

Apart dat sip providers dit wel toestaan...

[Reactie gewijzigd door GMJansen op 19 december 2017 23:29]

Jij hoeft het niet te gebruiken, de persoon die jou belt gebruikt het ;)
Dan kun je het beter uitzetten, een smsjes met UIT naar 1233 en je voicemail staat uit bij Lebara. Er zijn providers die dat lastiger maken maar de push om voicemail vooral niet uit te kunnen zetten (en een beller dus altijd op kosten te jagen ook al kun je niet aannemen) lijkt er een beetje uit te zijn nu providers meer aan data dan aan belminuten verdienen.
Bij T-Mobile heb ik meerdere keren gehad dat de voicemail zichzelf heeft aangezet, nadat ik deze had uitgezet. Mogelijk dat dit bij het verlengen van het abonnement was, maar dat is niet zeker.
De deed KPN ook iedere keer bij een verlenging. Na de eerste keer wist ik dat en checkte dat meteen om hem weer uit te zetten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*