'06-nummers T-Mobile zijn na komst e-sim makkelijker over te nemen door hackers'

Mobiele telefoonnummers van T-Mobile zijn door de komst van e-simondersteuning relatief eenvoudig over te nemen. Kwaadwillenden kunnen dat doen door in te breken op het My T-Mobile-account van gebruikers. Die accounts hebben geen tweetrapsauthenticatie.

Vanuit het My T-Mobile-account is het mogelijk om bij ieder T-Mobile-abonnement een e-sim aan te vragen. Dat kan met een paar klikken en de kosten worden verrekend via de factuur van de klant. De e-sim wordt na bestelling direct geleverd in het account als een qr-code, door die te scannen wordt de sim geactiveerd. Dat kan met ieder toestel dat e-simondersteuning heeft, zonder verdere verificatie.

Als een kwaadwillende toegang heeft tot het My T-Mobile-account, kan deze dus eenvoudig toegang krijgen tot het telefoonnummer van die klant door een e-sim te bestellen en die met een eigen smartphone te scannen. RTL Nieuws waarschuwt daarvoor en merkt op dat er op Nederlandse Telegramgroepen al handel is ontstaan in gehackte My T-Mobile-accounts.

My T-Mobile-accounts kunnen niet beveiligd worden met tweetrapsauthenticatie. Tot voor kort waren dergelijke accounts vermoedelijk niet erg interessant voor criminelen, maar nu er met enkele klikken een telefoonnummer overgenomen kan worden is dat anders. T-Mobile-klanten die voor hun account inloggegevens gebruiken die eerder zijn buitgemaakt bij een andere hack, lopen daarmee gevaar.

T-Mobile zegt in een reactie tegen RTL dat het onderzoekt of het verificatieproces voor het activeren van een e-sim aangescherpt moet worden. De provider zegt veiligheid belangrijk te vinden, maar wil ook dat het proces gebruiksvriendelijk is.

Het overnemen van 06-nummers, ook bekend als sim-swapping, is een beproefde methode onder criminelen om toegang te krijgen tot bijvoorbeeld e-mailaccounts van mensen die cryptocurrency bezitten, om ze die afhandig te maken. Het gebruik van sms als methode voor tweetrapsauthenticatie wordt al langer afgeraden.

Reacties (128)

dbzokphp 27 augustus 2019 17:48

Het is zelfs nog makkelijker. Het staat niet in het artikel, maar je kunt zonder gebruikersnaam en wachtwoord inloggen op My T-Mobile als je verbonden bent op je telefoon met hun 4G netwerk. Het gevaar hiervan is dat als je je telefoon als hotspot inzet voor bijvoorbeeld collega's (of wie dan ook), zij via hun computer/smartphone direct kunnen inloggen op jouw account zonder gebruikersnaam en wachtwoord (dit heb ik zelf getest). Dan kun je vervolgens de methode uit het artikel uitvoeren, zonder dat je ooit een gebruikersnaam of wachtwoord van degene nodig hebt gehad.

Ik heb een voorbeeld gemaakt van de My T-Mobile pagina, als ik verbonden ben via 4G: https://ibb.co/HnNXSKT

[Reactie gewijzigd door dbzokphp op 23 juli 2024 03:39]

LocK_Out @dbzokphp • 27 augustus 2019 17:58

Je kan deze optie in de app echter wel/ook gewoon uitschakelen.
App openen -> Meer -> Gebruikersnaam & wachtwoord -> Automatisch inloggen -> Nee.
Gemak brengt vaak ook weer extra risico's met zich mee.

[Reactie gewijzigd door LocK_Out op 23 juli 2024 03:39]

Keypunchie @LocK_Out • 27 augustus 2019 18:12

Dit zou echt standaard *uit* moeten staan! Dat het überhaupt kan is gewoon ontzettend onveilig!

ThomasG @Keypunchie • 27 augustus 2019 18:16

Dit staat standaard ook uit. Het wordt alleen gepromote op de inlog pagina, waardoor veel gebruikers het hebben geactiveerd.

Edit: blijkbaar staat het standaard wel aan. Maar omdat ik "netwerkherkenning" uit heb (een oude feature waardoor je zonder inloggen je resterende MBs, bel minuten, e.d. kunt zien), staat automatisch inloggen daardoor ook automatisch uit.

[Reactie gewijzigd door ThomasG op 23 juli 2024 03:39]

Cornicum @ThomasG • 27 augustus 2019 20:25

Ik heb het nooit aan gezet, maar kom er bij mij toch echt achter dat het aanstaat.

Misschien is mijn account uit een periode waar het automatisch aangezet werd maar ik zou toch graag een duidelijk bericht ontvangen als dit het geval is.

AW_Bos

@LocK_Out • 27 augustus 2019 19:02

Als ik ergens een account/abonnement aanmaak, ga ik niet de beveiligingen doorspitten om te kijken wat er aan staat, en wat ik uit moet zetten. Laat mij liever zelf vanaf begin af aan bepalen welke beveiligingen ik nodig heb. Desnoods aan de hand van een 'my first account' wizard na mijn eerste inlog.

ucsdcom

T-Mobile

@dbzokphp • 27 augustus 2019 20:17

Het verhaal is niet sluitend. Een simkaart, ook een e-sim moet geactiveerd worden. Dit gebeurt wel door 2 traps authenticatie indien mogelijk. Als je oude simkaart nog werkt krijg je namelijk via sms een passcode op je oude sim. Die moet je na inloggen op je account daar invoeren voor je sim actief wordt.

Er moet dus fysieke toegang tot je huidige simkaart bestaan. Of men moet er via de klantenservice voorbij kunnen lullen. Dat is de reden dat je bij veel buitenlandse providers een wachtwoord moet opgeven waar naar gevraagd kan worden als je de klantenservice belt. Bij Vodafone NL is dat trouwens een optie die je kan kiezen. Bijna niemand maakt hier echter gebruik van.

Aanvulling naar aanleiding van de opmerking van @keranoz hieronder: ik had meteen een e-sim besteld, zodra deze beschikbaar kwam en moest eerst inloggen in mijn “my T-Tmobile” account en eenmaal ingelogd alsnog via een sms verificatie op mijn oude simkaart deze nieuwe e-sim activeren.

[Reactie gewijzigd door ucsdcom op 23 juli 2024 03:39]

keranoz

@ucsdcom • 29 augustus 2019 09:23

Als je nu ook nog wat voorbeelden/sources noemt krijg je een +3. Als dit klopt is dit namelijk informatie die nogal essentieel is in het artikel, vind ik.

[Reactie gewijzigd door keranoz op 23 juli 2024 03:39]

ucsdcom

T-Mobile

@keranoz • 29 augustus 2019 19:13

Als je nu ook nog wat voorbeelden/sources noemt krijg je een +3. Als dit klopt is dit namelijk informatie die nogal essentieel is in het artikel, vind ik.

Terechte opmerking.

Ik weet dit slechts omdat ik meteen een e-sim had besteld en daarbij ontdekte dat deze ook geactiveerd moest worden.

Als je de e-sim in “my T-Mobile” koopt en download door de QR code te scannen die verschijnt, dan krijg je direct een menu. Daarin had ik meteen de e-sim gekozen als primaire sim en internet sim. Deze deed echter niets tot ik de e-sim ook weer via mijn account activeerde. Daarvoor was een sms verificatie op mijn oude fysieke sim nodig (die ik al uit had staan). Maar uiteindelijk werkte het.

slijkie @dbzokphp • 27 augustus 2019 18:35

Dat dit een spotlight is vind ik maar raar. Heel leuk en handige info, absoluut wat toevoeging maar wie heeft nou continue een OPEN hotspot aan? Dat slurpt batterij als een gek, ten tweede zie je gewoon als iemand ermee verbind (even terug komen op e-SIM dus met iPhones). Dus dan moet je per definitie al diep in slaap zijn zodat een 'hacker' even het halve land moet afreizen om in een cirkeltje om jou heen te gaan lopen in de hoop dat jij de hotspot aan zet?

Komop zeg, de lotterij winnen is een grotere kans.

Audiodude @slijkie • 28 augustus 2019 03:05

Pfff Klein beetje Social engineering, zo gefixed hoor.

Hacker vraagt aan man in trein: "zeg heb jij bereik hier met je telefoon ? Ik heb KPN en bereik is klote." Man antwoord:"Mijn bereik is prima, ik heb T-Mobile".
Hacker vraagt :" Mag ik misschien heel even via een hotspot mijn mail checken, ik verwacht een antwoord op een sollicitatie en ben zo nerveus"
Man geeft hacker 1 minuut via zijn hotspot, denkt goede daad te hebben verricht maar is zijn telefoon nummer dus kwijt.

Zo simpel. Hoeveel mensen denk je dat je af moet gaan voordat je er eentje heb ?

graey @Audiodude • 28 augustus 2019 04:07

Of nog simpeler: waar ik werk zijn er zat medewerkers die hun telefoon op wifi, bluetooth en hotspot zetten zodat ze in de trein kunnen internetten. Of dat nou op hun telefoon, laptop of tablet is; als ze die drie dingen aanzetten weten ze in ieder geval dat het werkt. Kan je tegen praten als Brugman, maar dat onthouden ze niet, wat ze wel onthouden: wifi, bluetooth, hotspot. Als die hotspot dan onbeveiligd is (redelijk 50/50), heb je er toch al snel weer een paar...

Redz0ne @graey • 28 augustus 2019 08:04

Hotspot vanaf de telefoon onbeveiligd lijkt mij sterk. Ik moet bijvoorbeeld perse een wachtwoord op geven om te verbinden met mijn hotspot (iPhone)

Hijdaar95 @Redz0ne • 29 augustus 2019 07:41

In Android 9 (en oudere versies ook) kun je de wifi hotspot beveiliging uitzetten. Staat standaard aan.

CH4OS

Beveiliging en antivirus

@slijkie • 28 augustus 2019 09:41

Gaat er niet om hoe groot de kans is. Het gaat erom dat het mogelijk is, terwijl dit heel onveilig is juist! En zoals Audiodude toelicht is de gemiddelde Nederlander te naïef en trapt zo in een stukje social engineering.

laurens0619 @slijkie • 27 augustus 2019 20:40

Precies dit

Wat ik vaak in mijn functie meemaak is dat er vaak alleen naar kwetsbaarheden wordt gekeken en het hele risicoprofiel niet wordt meegenomen. Ik bedoel, dit is toch super gebruiksvriendelijk en wat is nou de kans dat hier misbruik gemaakt van gaat worden? Als we alle features gaan uitzetten omdat er een potentieel risico bestaat. Leuke wereld dan!

Ze moeten trouwens wel fixen dat je esim zomaar kan aanvragen. Bv dat je moet verifieren via bevestigings sms.

To_Tall

@laurens0619 • 27 augustus 2019 22:56

Probleem is dat niet iedereen toegang hoeft te hebben tot zijn Sim. Telefoon kan wel gestolen zijn of Sim kaartje is door misbruik defect geraakt. Of heeft een te oude Sim die niet in een nieuwe telefoon kan en oude is defect. Noem maar een paar zij straatjes.

Het is dan bij t-mobile mogelijk om aan te geven dat je geen Sim meer hebt. Op die manier krijgt de gebruiker van de web site toch de mogelijkheid om een esim aan te vragen.

Daarnaast je verwisseld van telefoon met esim omdat deze defect is. Hoe ga je dan een esim krijgen??

DENK dat het verstandiger zou zijn om in die gevallen. Een bevestigingsbrief mail te sturen waar men op moet klikken.

Genoeg websites die daar gebruik van maken en denk ook gebruikt vriendelijk genoeg.

Bart ® Moderator Spielerij

@dbzokphp • 27 augustus 2019 17:56

Zo dat is wel echt heel slecht. Ze hebben dan natuurlijk wel eerst het wachtwoord van je hotspot gehad, en die geef je doorgaans niet aan iedereen natuurlijk.

Cowamundo @Bart ® • 27 augustus 2019 18:09

Er zijn ook zat mensen die hun hotspot instellen met 0000 of 1234 want tja, lekker makkeijk.

The Zep Man

Beveiliging en antivirus

@Cowamundo • 27 augustus 2019 18:27

Android heeft 8 karakters nodig voor een WPA2 passphrase.

CH4OS

Beveiliging en antivirus

@The Zep Man • 28 augustus 2019 09:42

Dat is niet Android die dat eist, maar WPA2.

Maar goed, dan ben je er met 1 t/m 8...

[Reactie gewijzigd door CH4OS op 23 juli 2024 03:39]

mjz2cool @Cowamundo • 27 augustus 2019 19:31

Android maakt gebruik van WPA2, en die kan niet korter zijn dan 8 karakters. Maar het gaat om het idee natuurlijk, want een code van 8 karakters kan net zo goed makkelijk te kraken zijn.

Knetterhard @Cowamundo • 27 augustus 2019 20:01

Apple gebruikt ook WPA2, dus dat klopt niet helemaal.

Audione0 @Bart ® • 27 augustus 2019 18:05

Ik wil niet zeggen dat iedereen per definitie slecht is, maar de meeste criminelen zijn hele aardige mannen en vrouwen doorgaans en je moet maar iedereen om zijn mooie blauwe ogen geloven??. Ik zou persoonlijk als ik T-mobile was dit meteen anders doen en gewoon om een gebruikersnaam en wachtwoord vragen.

mjz2cool @Audione0 • 27 augustus 2019 19:32

En "ouderwets" gebruik van cookies maken om na inloggen de sessie op te slaan.

Sorcerer8472

T-Mobile

@dbzokphp • 27 augustus 2019 17:55

Handig als je je internet deelt en die melding nog nooit gelezen hebt ook

AMD and INTEL @dbzokphp • 27 augustus 2019 18:10

Dat werkt niet als je via wifi hotspot aanhebt, alleen via kabel! Dus zo erg lijkt me het probleem niet.

Jonathan-458 @dbzokphp • 27 augustus 2019 18:23

Risico's al eerder aangekaart bij T-Mobile als App feedback maar lijkt niks mee te worden gedaan.

Cyb @dbzokphp • 27 augustus 2019 21:02

En met wachtwoord kan (of kon) het zelfs onveiliger worden, zo ervaarde Ethan (h3h3Productions, een bekende youtuber) bij T-Mobile, waar hackers zijn sim in handen kregen met dank aan T-Mobile zelf, d.m.v. o.a. social engineering: https://www.youtube.com/watch?v=caVEiitI2vg

[Reactie gewijzigd door Cyb op 23 juli 2024 03:39]

HakanX @dbzokphp • 28 augustus 2019 03:26

Wel raar dat ze zelf waarschuwen voor de hotspot optie maar dit niet beveiligen. In Turkije heb je ook automatisch inloggen bij alle providers, alleen werkt dat niet via hotspot. Ik weet niet precies hoe dat technisch zat, maar volgens mij zagen ze dat vanwege de extra op ofzo. Sommige providers hebben zo ook andere bundel voor hotspot op je abonnement dan wanneer je het gewoon direct gebruikt op de telefoon zelf. T-Mobile heeft dat zo te zien ook in het buitenland.

Daan S

@dbzokphp • 28 augustus 2019 08:00

Hotspot is aan te zetten zonder de telefoon te ontgrendelen. Iemand hoeft dus maar een paar seconden je telefoon vast te houden. Esim is dus heel gebruikersvriendelijk overdraagbaar. Welke security mafkees heeft dit getest/ goedgekeurd?

SubSpace

@dbzokphp • 28 augustus 2019 08:12

Bizarre optie, vind ik eerlijk gezegd. Ze melden nota bene zelf het probleem in combinatie met hotspots, maar vinden dit nog steeds een goed idee om standaard in te schakelen?

Als iemand niet van het bestaan van deze functie weet, weet hij/zij ook niet dat het uitgeschakeld moet worden...

Plopeye @dbzokphp • 28 augustus 2019 08:56

Nog veel erger wat je na deze stap kunt, er zijn de nodige 2FA systemen die een OTP via SMS sturen.
Ook de wachtwoord vergeten optie van een Facebook en Google bieden tijdens de wachtwoord vergeten procedure om te verifiëren via sms.

ING bankieren is misschien nog wel een veel lelijker voorbeeld wat je via deze hack kan bemachtigen:
https://www.ing.nl/partic...-codes-via-sms/index.html

Dit is dus misschien op het eerste oog enkel een risico op het verliezen van je nummer, maar het risico is vele malen groter!

Als ik dit soort zaken lees dan rijst bij mij wel de vraag: (wat betreft t-mobile)

- Change management?
- Eigen processen in beeld en op orde?
- Risico en impact analyse?

Krulliebol @Plopeye • 28 augustus 2019 12:36

ING is druk bezig om dat uit te faseren.

jongetje

T-Mobile

@dbzokphp • 28 augustus 2019 12:23

Je hebt helemaal gelijk (wordt ook voor gewaarschuwd door T-Mobile). Alleen sta je niet zo sterk omdat je je mobiel niet mag inzetten als hotspot voor derden... En als je het als doet moet je het alleen doen voor mensen die je vertrouwd.

Kiwi

27 augustus 2019 17:48

De beveiliging kan inderdaad beter, maar er wordt hier wel een belangrijke stap in het proces overgeslagen. Voor het activeren van de eSIM is namelijk een verificatie nodig via SMS (via de oude simkaart) of de nieuwe eSIM zal 24 uur niet bruikbaar zijn (en intussen krijgt de eigenaar bericht dat een nieuwe SIM is aangevraagd).

De eigenaar heeft dus nog wel 24 uur om dit proces te stoppen, het nummer kan niet in één keer worden overgenomen.

don spike @Kiwi • 27 augustus 2019 18:37

Je kunt kiezen tijdens het proces dat je de oude sim niet meer hebt EN je kunt het wel degelijk gelijk gebruiken. Enkele tips stonden al onder het nieuwsbericht toen esim bij T-Mobile werd aangekondigd. Heb hier samen met een vriend samen mee lopen spelen.

bbob @Kiwi • 27 augustus 2019 18:32

Dat klinkt leuk maar iemand kan op vakantie zijn, weekend en zakelijke tel uit. Genoeg voorbeelden te bedenken.

Maar goed je tel kan gesloten zijn dan kan iemand dus wel meteen esim aanvragen.

Gestolen is dan ook meteen mooi voorbeeld dat de 2 traps controle niet via de mobiele telefoon moet lopen maar via een ander systeem.

De provider zegt veiligheid belangrijk te vinden, maar wil ook dat het proces gebruiksvriendelijk is.

Zeg t-mobile nu dat 2 traps beveiliging niet gebruiksvriendelijk is ?

mjz2cool @bbob • 27 augustus 2019 19:36

Zeg t-mobile nu dat 2 traps beveiliging niet gebruiksvriendelijk is ?

Ongeveer wel, en dat klopt ook wel, want het zijn extra stappen die je moet doen. Niet voor niks is een balans nodig tussen veiligheid en gebruikersgemak. Te veilig en gebruikers gaan manieren bedenken om het gemakkelijker te maken, zoals een simpel wachtwoord of hergebruik van oude wachtwoorden. Teveel gebruikersgemak maakt het weer onveilig.

Wh4ck0 @mjz2cool • 28 augustus 2019 09:52

[...]

Ongeveer wel, en dat klopt ook wel, want het zijn extra stappen die je moet doen. Niet voor niks is een balans nodig tussen veiligheid en gebruikersgemak. Te veilig en gebruikers gaan manieren bedenken om het gemakkelijker te maken, zoals een simpel wachtwoord of hergebruik van oude wachtwoorden. Teveel gebruikersgemak maakt het weer onveilig.

Zijn misschien extra stappen, maar je kunt bij tweetrapsauthenticatie ook kiezen om "ingelogd" te blijven, of een hybride vorm, dat het voor de gebruiker na de eerste keer inloggen niet veel extra stappen is.
Zo zie je bij google dat je bij een "vertrouwde computer" alleen een wachtwoord voldoende is na de eerste keer.
Dan blijft het nog lastig voor aanvallers om in te breken als ze geen toegang tot je pc hebben. Dus dan is handel in de accounts al niet meer zinnig.

EraYaN @bbob • 27 augustus 2019 23:55

Als het goed is kan iemand die je telefoon steelt helemaal niets met die telefoon, meteen de telefoon op gestolen zetten al dan niet met Find My iPhone of het equivalent, wordt het een mooi papiergewichtje van.

Het is waarschijnlijk nog steeds simpeler on de klantenservice te gebruiken als aanvalsvector, dat werkt nog steeds echt fantastisch schijnbaar.

marco282 27 augustus 2019 19:02

Uhm er staat dat er "geen verdere verificatie" is. Maar dat is niet zo, om de nieuwe aangevraagde e-sim te activeren heb je een smsje op je oude sim nodig. Dus wel degenlijk twee traps authenticatie voor de nieuwe e-sim actief is.

Of dit moet veranderd zijn sinds ik het heb aangevraagd?

neevedr @marco282 • 27 augustus 2019 19:45

Volgens mij is dit nieuwsbericht ook helemaal niet correct. Tijdens de swap van SIM naar eSIM heb ik twee SMS berichten ontvangen op mijm oude SIM kaart.

Beste klant, je hebt een eSIM besteld voor deze aansluiting. Na downloaden en activeren van deze eSIM wordt je telefoonnummer hieraan gekoppeld. Je huidige simkaart of eSIM wordt dan onbruikbaar. Groeten T-Mobile

En

Je hebt bij T-Mobile een verificatiecode opgevraagd.
Je verificatiecode is: 48959. Deze code is 15 minuten geldig.
Groeten van T-Mobile.

Die verificatiecode heb ik toch echt ergens moeten invullen.

Plopeye @neevedr • 28 augustus 2019 09:00

Ook interessant, hoe ga je dan je nummer overzetten van je ene e-sim naar de andere als je de eerste in het water hebt laten vallen bijvoorbeeld?

marco282 @Plopeye • 28 augustus 2019 11:12

Dan moet je 24 uur wachten, er wordt dan een sms gestuurd naar de oude sim en heb je het 24 uur om tegen te houden in t geval van diefstal. Niet zo veilig als een echte goede authenticatie, maar in iedergeval wel de moeite waard om te vermelden in het artikel.

jimzz @neevedr • 27 augustus 2019 22:00

Volgens mij gaat t niet om bestaande sims overnemen maar om het aanvragen van een extra telefoonnummer via esim. (Althans dat is wat ik uit het artikel begrepen heb). Dat wil dus zeggen dat ze een nieuw abonnement afsluiten op naam van iemand anders (en dus alles wat met dat telefoonnummer gedaan wordt in naam vh slachtoffer gebeurt). Ik kan het verkeerd begrepen hebben, maar zo zie ij t voor me.

Edit: beste tweakers, willen jullie me in godsnaam eens vertellen wat hier off topic aan is?

[Reactie gewijzigd door jimzz op 23 juli 2024 01:21]

marco282 @jimzz • 28 augustus 2019 11:14

Met nieuwe contracten kwamen ze voorheen altijd met een koffer langs de deur en moest je contracten ondertekenen icm ID check, als dit inderdaad niet meer het geval is bij esims dan lijkt me dit inderdaad een erg vreemde zaak.

Volgensmij krijg je bij e-sims een QR code overhandigd fysiek dmv dezelfde methode als een simkaart.

mjz2cool @marco282 • 28 augustus 2019 10:50

Als je een nieuwe e-sim aanvraagt, heb je misschien geen oude sim waar ze die sms naartoe kunnen sturen. Het is dan ook niet nodig.

marco282 @mjz2cool • 28 augustus 2019 11:15

Klopt, daar werd ik inderdaad eerder ook op gewezen, maar de activatie duurt dan wel 24 uur en de oude sim wordt een sms gestuurd met dat over 24 uur de sim vervalt. Nu is dit inderdaad nogsteeds niet 100% veilig want stel je kijkt een dag niet op je telefoon voor wat voor reden dan ook.
Maar het is wel minder onveilig als werd omschreven

robb7 27 augustus 2019 20:06

Een tijdje terug was er een artikel op ZDNET met de horror story van een van de tech writers over het hijacken van zijn SIM kaart. Nog niet eens een e-SIM, maar een fysieke SIM. En ook bij T-Mobile.
Hoewel ik wel een beetje twijfel aan echtheid van het verhaal, laat het goed zien hoe sommige mensen data toevertrouwen aan online diensten en niet realiseren hoe afhankelijk ze zijn van een enkele zwakheid in de security.
De moeite waard om te lezen,

alt-92 @robb7 • 28 augustus 2019 17:19

Oh, T-Mobile heeft wel meer reputatieminpunten qua security opgebouwd hoor.

Anoniem: 767041 27 augustus 2019 17:51

Maar wat is de kans dat het gebeurt..

WhatsappHack

T-Mobile
Hack
Smartphones
Beveiliging en antivirus

@Anoniem: 767041 • 27 augustus 2019 18:00

Als er nu al handel in is en er komt ruchtbaarheid aan, dan is die kans dus heel erg groot.

Let ook op dat dit een mooi bruggetje vormt naar het bericht van gister over WhatsApp-fraude. Als je iemands telefoonnummer kan overnemen, kan je dus ook doodleuk de SMS-verificatie van bepaalde zaken ontvangen. WhatsApp, Signal, Telegram, sommige banken en DigID wat natuurlijk ook fijn is als je wachtwoord toevallig in een database staat en je bent nog steeds zo dom (met alle respect) om geen unieke wachtwoorden te gebruiken voor extreem gevoelige zaken. Dan kan je dus zelfs zonder tussenkomst van het slachtoffer de verificatiecode voor bijvoorbeeld WhatsApp jatten, inloggen en leuk mensen gaan scammen. (Tenzij het slachtoffer netjes tweetraps verificatie heeft ingeschakeld, WhatsApp, Signal en Telegram ondersteunen dat alle drie.)

Al is de kans klein, het zal je maar gebeuren... Dit moet gewoon gepatched worden en wmb snel ook, punt.

Moet geeneens discussie over zijn.

Desnoods eist T-Mobile dat je voor je een e-sim kunt bestellen eerst eenmalig moet activeren en een x-cijferige code moet invoeren. Kun je dat niet omdat je SIM kapot is of je bent hem vergeten: prima, maar dan bel je maar naar de klantenservice zodat het vrijgegeven kan worden. Daar is met social engineering ook wel 't een en ander wat mis kan gaan, maar dat is al een stuk veiliger dan hoe makkelijk het nu is om er doorheen te komen.

ucsdcom

T-Mobile

@WhatsappHack • 27 augustus 2019 20:22

. Desnoods eist T-Mobile dat je voor je een e-sim kunt bestellen eerst eenmalig moet activeren en een x-cijferige code moet invoeren. Kun je dat niet omdat je SIM kapot is of je bent hem vergeten: prima, maar dan bel je maar naar de klantenservice zodat het vrijgegeven kan worden. Daar is met social engineering ook wel 't een en ander wat mis kan gaan, maar dat is al een stuk veiliger dan hoe makkelijk het nu is om er doorheen te komen.

Dat is bij alle sim wisselingen bij T-Mobile al standaard. Je krijgt eerst een sms op je oude simkaart waarmee je na inloggen in je acount de nieuwe simkaart moet activeren. Dus ook om een e-sim te activeren.

kozue @WhatsappHack • 27 augustus 2019 18:35

omdat je SIM kapot is of je bent hem vergeten: prima, maar dan bel je maar naar de klantenservice

En hoe ga je bellen naar de klantenservice zonder je sim? Vanaf iemand anders’ nummer bellen? Dat is dus precies wat de criminelen ook doen

WhatsappHack

T-Mobile
Hack
Smartphones
Beveiliging en antivirus

@kozue • 27 augustus 2019 19:27

Ja, maar de KS kan extra gegevens vragen. Zoals je volledige naam, adres, telefoonnummer, laatste x cijfers van je bankrekening, andere producten, verificatiecode (belangrijk) en noem ‘t maar op. (Zoals gezegd kan dat wel met social engineering een probleem vormen, maar je kan nu al met die gegevens nieuwe abonnementen, bundels, etc aanvragen en dat is al jaren zo.) Al moet ik zeggen dat als ze toegang hebben tot My T-Mobile ze dat waarschijnlijk daaruit kunnen plukken. Dan heeft ‘t idd geen zin en is er maar een optie: per briefbost.

Maarja, als je je adres in My T-Mobile kan wijzigen dan... Hmpf. Ja T-Mobile moet dit gewoon fixen.

sympa @WhatsappHack • 27 augustus 2019 20:23

Toen ik een sim van Ben bestelde moest ik een ID laten zien aan de bezorger. Dat kost natuurlijk geld...
Vervelend daarbij is dat T-Mobile best het risico wil dragen van kosten gemaakt met een gestolen SIM. Als ze hun IT op orde hebben is dat een paar tientjes kosten aan hun kant, daar komen ze wel overheen.
Dat er bij de klant vervolgens identiteitsdiefstal kan worden gepleegd is natuurlijk veel vervelender...

Groningerkoek @Anoniem: 767041 • 27 augustus 2019 18:24

Zal net een klein beetje meer dan 99,99% zijn.

True 27 augustus 2019 17:41

T-Mobile zegt in een reactie tegen RTL dat het onderzoekt of het verificatieproces voor het activeren van een e-sim aangescherpt moet worden. De provider zegt veiligheid belangrijk te vinden, maar wil ook dat het proces gebruiksvriendelijk is.

Zoals een SMS op je al bekende 06-nummer? Hoewel SMS niet beste two-factor methode is, is het altijd beter dan ... niets.

Sorcerer8472

T-Mobile

@True • 27 augustus 2019 17:44

Als je een e-sim wil aanvragen omdat je oude e-sim in een gestolen telefoon zit dan is dat niet zo handig

[Reactie gewijzigd door Sorcerer8472 op 23 juli 2024 03:39]

Armin @Sorcerer8472 • 27 augustus 2019 18:25

Als je een e-sim wil aanvragen omdat je oude sim in een gestolen telefoon zit dan is dat niet zo handig

Dat probleem is een non-issue. Namelijk je gaat naar de T Mobiel NL winkel. De persoon in polo blokkeert na zien van je legitimatie je oude SIM, en activeert een nieuwe.

Het aanvragen van een esim als vervanging van je gewone sim is uberhaupt onnodig, tenzij je nieuwe telefoon toevallig geen gewone sim ondersteunt.

Het probleem zit hem erin wanneer je op vakantie bent in Frankrijk en dan opeens je telefoon verliest. Elke remote blokkade of omzetting is een aanvalsvector van een kwaadwillende. Notificatie is dan een zinnig onderdeel van een groter geheel.

Sorcerer8472

T-Mobile

@Armin • 27 augustus 2019 19:37

Het ging om 2fa toch? Als je in het buitenland bent kun je geen 2fa meer doen via sms als je telefoon gestolen is, en dan kun je dus in het genoemde geval niet meer een esim voor een andere telefoon aanvragen. Dat bedoelde ik dus.

Het kan idd in de winkel wel, maar dat defeats the purpose van esim dan weer gelijk.

Armin @Sorcerer8472 • 27 augustus 2019 20:28

Dat snap ik, maar een esim aanvragen als je normale sim net gejat/verloren is, is een onzinnig scenario. Je eerste prioriteit is je gewone sim blokkeren, niet een esim aanvragen.

Uberhaupt is een esim aanvragen voor je bestaande nummer waar je al een sim kaart voor hebt, terwijl je in het buitenland zit, niet iets wat echte en kern-scenario is waar je je druk om hoeft te maken.

e-SIM is momenteel nog primair bedoeld als 2e sim, al kan dat veranderen in de toekomst.

Sorcerer8472

T-Mobile

@Armin • 28 augustus 2019 09:49

Heb even "e-" toegevoegd bij mijn vorige reactie. Dus nieuwe e-sim omdat telefoon + oude e-sim weg is.

Overigens zou een oplossing voor T-Mobile wellicht zijn dat de oude wordt geblokkeerd en je dan zonder 7 dagen wachttijd een nieuwe kunt aanvragen. En dat het überhaupt enkel kan met extra bevragingen door klantenservice of website.

En het gaat nooit om de kernscenario's, maar juist om edge cases waar je als klant last van kunt hebben met grote impact. Gehackte accounts zullen technisch gezien ook een soort edge cases zijn, dus ik hoop dat men deze zaken die grote impact hebben juist wel snel serieus oppikt.

En met als 2e sim bedoel je bijv. voor een Apple Watch? Want volgens mij moet je bij T-Mobile daar hoe dan ook een extra abo voor afsluiten. Of bedoel je wat anders?

gjmi @Sorcerer8472 • 27 augustus 2019 18:27

Waarom zou je een esim aanvragen op je gestolen telefoon? Direct blokkeren dat nummer!

Sorcerer8472

T-Mobile

@gjmi • 27 augustus 2019 19:35

Stel je wil op een nieuwe telefoon een esim omdat je oude telefoon (met je oude nummer) gestolen is, dan kun je geen 2fa sms meer ontvangen. Dat was mijn punt.

gjmi @Sorcerer8472 • 27 augustus 2019 19:53

Maar diegene die het gestolen heeft wel! Des te meer reden om een nummer meteen te blokkeren. Helemaal als je automatisch inlogt op websites en je mail zit ook op de telefoon.
Dan hoop ik toch echt dat je de telefoon niet zomaar kunt unlocken. (Genoeg mensen die de telefoon niet locken of (simpele) code gebruiken die meestal ook nog eens makkelijk af te kijken is.

[Reactie gewijzigd door gjmi op 23 juli 2024 03:39]

HakanX @gjmi • 28 augustus 2019 03:37

Je blokkeert niet het nummer, maar de gestolen simkaart. Vervolgens vraag je een esim aan voor je nieuwe telefoon met hetzelfde nummer uiteraard ipv een nieuwe sim die je niet meer nodig hebt in je nieuwe telefoon met esim ondersteuning. Dit is een zeer reële situatie. Vooral als je in het buitenland bent en niet langs een shop kan gaan of als je een esim hebt van een provider die geen fysieke winkels heeft.

True @Sorcerer8472 • 27 augustus 2019 17:51

En als je je 2fa-applicatie op je telefoon hebt staan is het net zo onhandig. Zijn er nog voorbeelden van 2fa waarbij je niet je telefoon hoeft te gebruiken die ook nog eens door 95% van de gebruikers toepasbaar zijn?
Los van eventuele back-up codes die je natuurlijk wel offline beschikbaar moet hebben naast je SMS of 2fa-applicatie.

Sorcerer8472

T-Mobile

@True • 27 augustus 2019 17:54

Ik zeg niet dat ik wel de oplossing heb he

mrdemc @True • 27 augustus 2019 18:23

FIDO

https://fidoalliance.org/what-is-fido/

ATS @True • 27 augustus 2019 19:24

Authy kan dat als je dat zo instelt.

Bockelaar @True • 27 augustus 2019 19:33

Lastpass...

beerse @Sorcerer8472 • 27 augustus 2019 17:55

Dan zijn er altijd andere methodes in te voeren. Bijvoorbeeld het versturen van de qr code per papieren post of op te halen op het t-mibile kantoor of zo.

ATS @Sorcerer8472 • 27 augustus 2019 19:25

In dat geval ga je met je ID langs bij een winkel lijkt me. Dan maar niet online.

IndoBoy @ATS • 29 augustus 2019 02:40

e-sim is nu alleen bij T-mobile, maar in de toekomst biedt iedereen het aan. Niet iedere provider heeft een winkel, kun je dus ook niet even naar de winkel gaan.

riverbit @True • 27 augustus 2019 17:45

Vaak vraag je een nieuwe sim-kaart aan als je oude defect is. Dan is het natuurlijk lastig om een SMS te ontvangen. Wellicht zou verificatie in een T-Mobile winkel met legitimatie beter werken. Op zich is het aanvragen van een e-sim niet echt het probleem, maar het aanpassen van het adres. Een e-simkaart wordt nog steeds per post verstuurd.

Edit: mijn fout, ze worden zelfs digitaal geleverd

[Reactie gewijzigd door riverbit op 23 juli 2024 03:39]

Loggedinasroot @riverbit • 27 augustus 2019 17:59

Je kan ze gewoon downloaden/scannen toch?

De e-sim wordt na bestelling direct geleverd in het account als een qr-code, door die te scannen wordt de sim geactiveerd.

Overigens is het heel makkelijk te beveiligen. Gewoon de QR-code alleen in een brief sturen en alleen naar je eigen adres(niet zomaar aan te passen, of extra check als recent aangepast). Of met ID naar een winkel.

Paulus73 @Loggedinasroot • 28 augustus 2019 09:08

Goede beveiliging, maar daarmee gaat vrijwel het hele punt van een e-SIM verloren: het gemak om zonder je huis (of werkplek, bankje in het park, ....) te verlaten een nieuwe SIM aan te vragen die vanaf dat moment werkt. Er moet m.i. dus een betere beveiliging komen van het digitale aanvraagproces, met zo min mogelijk beperkingen ten opzichte van het gemakt van een e-SIM.

RoestVrijStaal @True • 27 augustus 2019 17:48

Ik vind het de betrouwbaarste.

Want je hoeft niet te slepen met backups van je data van je 2FA-app, die kunnen verdwijnen door een update of reset van je telefoon.

Sepio @RoestVrijStaal • 27 augustus 2019 18:05

Ik neem aan dat een goedwillende klant die zijn telefoon is kwijtgeraakt ook wel eens een nieuwe Sim wil kunnen aanvragen. Een SMS is dan niet handig.

Als je een app als Authy gebruikt dan zit de backup van de data al ingebouwd.

RoestVrijStaal @Sepio • 27 augustus 2019 19:35

Ik neem aan dat een goedwillende klant die zijn telefoon is kwijtgeraakt ook wel eens een nieuwe Sim wil kunnen aanvragen. Een SMS is dan niet handig.

Email (wat GOG en HumbleBundle doen) is natuurlijk ook een optie.

En om nou te zeggen dat je "lijstje van wachtwoorden", versleuteld met een onbekende encryptiemethode, geüpload wordt naar een server van een Amerikaans bedrijf een manier van veilige backup is....heb ik mijn bedenkingen bij.

Jonathan-458 @True • 27 augustus 2019 18:28

two-factor, via email, sms of authenticatie app lijkt mij voorlopig voldoende, kans is denk ik vrij klein dat meerdere zaken direct gehackt zijn. Daarnaast lijkt het mij handig dat dit alleen standaard actief is bij aanvragen/activeren van een SIM.

Misschien is een passphrase bij activatie van SIMs of E-SIMs wel handiger, hoevaak moet je nu daadwerkelijk je SIM activeren?

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 03:39]

Muncher 27 augustus 2019 17:51

Gut gut gut, wat een titel weer. De “hackers” moeten dus eerst wel al toegang hebben tot een account. Waar halen ze die vandaan? Uit de password-dump van tante Sjaan?

Natuurlijk zou 2FA handig/veilig zijn, maar hoeveel mensen gaan dit echt doen? Zie ook mijn opmerking en discussie bij het Hostinger artikel.

Wat ik lees is dat er binnen T-Mobile een afweging is gemaakt tussen veiligheid en gebruiksvriendelijkheid, waarbij de laatste de doorslag heeft gegeven. Goed dat dit nu opnieuw bekeken wordt, maar dat betekent niet dat de afweging destijds verkeerd is geweest.

SunnieNL

@Muncher • 27 augustus 2019 18:58

Je pakt een lijst van een eerdere data breach bij een ander bedrijf.
Dan zijn er 2 opties:
A) probeer gewoon alle NL mogelijkheden

doe een phishing mail uit naam van tmobile en probeer elk account dat op de link klikt

Muncher @SunnieNL • 27 augustus 2019 19:15

Hoe is dat anders dan voor dit artikel? Dat was daarvoor ook al een optie.

Geen idee of T-Mobile een lock-out policy heeft op accounts om dit te voorkomen, maar dat lijkt mij wel.

Het gaat mij om de nieuwswaarde van dit bericht. De titel is nogal click-baiterig en inhoudelijk is het niet zo heel spannend, laat staan een technisch hoogstandje. Dit lijkt eerder op een stukje sensatiezucht. In het bron-artikel geven ze ook aan dat ze er eerder over hebben bericht, dus weer lekker op de FUD-repeater.

Dat mensen niet zorgvuldig met hun wachtwoorden omgaan is een bekend probleem en niet uniek voor T-Mobile. 2FA was netjes geweest maar helpt ook maar tot een bepaald niveau en niet iedereen kan/wil/begrijpt hoe dat zou moeten werken.

Wel goed om te zien dat T-Mobile aan het kijken is of het proces nog solide genoeg is, maar inhoudelijk veranderd er niet zo heel veel.

hoi1234 @Muncher • 28 augustus 2019 11:59

Gelukkig heb ik geen T-Mobile, maar ik vind dit toch een zeer kwalijke zaak.

Er zijn nog diverse diensten (waaronder DigiD ) waar 2fa via sms werkt. Ja, tuurlijk moeten ze eerst m'n wachtwoord hebben, maar met dit standpunt kunnen we 2fa helemaal uitfaseren.

Wat nou gebruikersgemak, die mensen die geen 2fa blieven en overal het zelfde wachtwoord gebruiken, want "makkelijk en ik heb toch niks te verbergen", moeten niet de standaard worden. Ik wil niet gehackt worden omdat een paar incabele mensen van mening zijn dat 2FA het "te complex" maakt. Zorg er voor dat het ofwel standaard aanstaat en uitgezet kan worden ofwel dat het duidelijk is dat het aangezet dient te worden voor een veilig account. Helemaal niks, is geen optie.

Vinisz 27 augustus 2019 18:01

Ik snap dat hele esim gedoe niet zo.... ik heb nog niemand om me heen gehoord die riep “zo balen dat we nog geen esims hebben.... ik kan echt niet zonder..”

Hoe vaak heb je nu een nieuwe simkaart nodig/wissel je van provider/gaat ie stuk ?

In mijn ogen meer een stuk techniek ontstaan uit “wat moeten we nu weer verzinnen...”

michaelkamen

@Vinisz • 27 augustus 2019 18:09

Het is de laatste stap in het overbodig maken van het sim-slot, wat is begonnen met het steeds kleiner maken van de sim-kaarten.
In moderne smartphones is iedere millimeter ruimte bevochten, en smartphone fabrikanten willen maar wat graag van de sim-slot af.

WhatsappHack

T-Mobile
Hack
Smartphones
Beveiliging en antivirus

@Vinisz • 27 augustus 2019 18:09

Het is vooral voor kleine devices zoals een smartwatch erg handig en het is ook handig als je wilt overstappen van provider. Omdat de sim ingebouwd zit is die ook veel minder kwetsbaar.

Martinspire @Vinisz • 27 augustus 2019 18:54

Voor mensen die liever 1 toestel voor 2 simkaarten willen, is het wel handig. Een zakelijk nummer toevoegen is dan veel makkelijker (bereikbaarheid kun je dan wel op het toestel zelf managen). Verder zou je kunnen overstappen en het x dagen kunnen proberen om bv netwerk bereikbaarheid te testen. Sure, voor 90% van de bevolking is het niet direct nodig, maar er zijn wel degelijk voorbeelden te bedenken.

bilbob @Vinisz • 27 augustus 2019 19:38

je laat tijdens je vakantie je telefoon in de zee vallen en kan m niet meer terug vinden.
Dan is esim dus rete handig.

Dreamvoid

Smartphones

@Vinisz • 28 augustus 2019 01:15

Het is de enige manier om dualsim op een iPhone te krijgen, dus dat is voor een hele hoop mensen interessant, dual sim wordt door honderden miljoenen mensen gebruikt wereldwijd.

mjz2cool @Vinisz • 28 augustus 2019 11:00

Ik zie vooral voordelen bij het gebruik van meerdere simkaarten. Nu heb je een dualsim telefoon nodig om bijvoorbeeld je prive en zakelijke nummer in 1 telefoon te gebruiken, maar straks kun je meerdere (dual, tripple, of nog meer?) e-sims gebruiken in 1 telefoon. Een ander voordeel is het gebruik van 1 e-sim op meerdere apparaten. Dan heb je bijvoorbeeld je telefoon, tablet en een smartwatch die allemaal via 1 e-sim werken. Je zou dan bijvoorbeeld thuis gewoon via je tablet kunnen bellen met je eigen mobiele nummer.

ignitem 27 augustus 2019 20:30

Niet bepaald een voorbeeld van "Security by Design".
Laten we eerst het e-sim systeem invoeren en daarna pas nadenken over de veiligheid.

Tetraquark @ignitem • 28 augustus 2019 05:06

Beetje overdreven nietwaar?! Dit hele verhaal valt inelkaar door een slecht wachtwoord vd gebruiker. Met de website van TMobile is niks mis qua veiligheid.
Nietszeggend artikel

ignitem @Tetraquark • 28 augustus 2019 17:43

Als je ook maar iets van beveiliging weet, dan weet je dat mensen slechte wachtwoorden kiezen, wachtwoorden hergebruiken en ingewikkelde wachtwoorden opschrijven of elders noteren. Daarbij is Phising een van de meestvoorkomende middelen om gebruikers wachtwoorden afhandig te maken. Als je het over beveiliging hebt, heb je het niet alleen over de technische beveiliging, maar ook over het psychologische aspect.

Toch kiest T-Mobile ervoor om het verhuizen van een mobiel abonnement enkel te beveiligen met maar één wachtwoord en niet met een vorm van multifactor-authenticatie. Dit terwijl de mobiele telefoon ironisch genoeg juist als multifactor-authenticatie voor andere diensten zoals bijvoorbeeld DigiD of de bank wordt gebruikt. Een dergelijk belangrijk apparaat zou je juist extra moeten beveiligen.

Daarbij is de noodzaak om uitermate gemakkelijk een mobiel abonnement van een apparaat naar een ander apparaat over te zetten grotendeels afwezig is. Voor de meeste gebruikers is dit een activiteit die ze gemiddeld een keer per 2 jaar moeten uitvoeren. Niet bepaald een veelvoorkomende activiteit die gemak vereist.

Tetraquark @ignitem • 28 augustus 2019 20:13

Phishing en website wachtwoorden zijn een probleem van alle websites. Zo'n suggestieve clickbait titel hier op tweakers te plaatsen is lachwekkend.
@mjz2cool

mjz2cool @Tetraquark • 28 augustus 2019 20:50

Dat klopt, maar hiervoor konden ze dan tenminste niet zo gemakkelijk een simkaart aanvragen om zo je 06 nummer over te nemen.

mjz2cool @Tetraquark • 28 augustus 2019 11:18

Dat is maar een deel van het probleem. Wat dacht je van phising? Nu het zo gemakkelijk is om een mobiel nummer over te nemen, zal ook gebruik gemaakt worden van phishing. En iedereen kan in phishing trappen, niet alleen a-technische mensen. Bovendien, als je via het t-mobile netwerk naar je account wilt, kan dat zonder inloggen (tenzij je dit uitzet).

[Reactie gewijzigd door mjz2cool op 23 juli 2024 03:39]

Thystan @Tetraquark • 28 augustus 2019 17:19

Zoals hierboven aangegeven is het ook mogelijk om zonder ww in te loggen in je My T-Mobile

alt-92 @Tetraquark • 28 augustus 2019 17:21

*kuch*
https://www.reddit.com/r/..._only_the_best_practices/

Anoniem: 58485 27 augustus 2019 17:50

Gebruik dan ook een uniek wachtwoord voor t-mobile.

SpoekGTi @Anoniem: 58485 • 27 augustus 2019 18:05

Is nog steeds geen garantie dat ze het niet kraken bruteforce

Sowieso voor elk account een uniek wachtwoord is het minste wat je kan doen als eind gebruiker.

[Reactie gewijzigd door SpoekGTi op 23 juli 2024 03:39]

MarcelG @SpoekGTi • 27 augustus 2019 19:08

Reningelst? Het enige wat ik daarover vind is een plaats in België.

BARACUS @MarcelG • 27 augustus 2019 19:28

Dat is een superwachtwoord, als het uitlekt op het internet denkt iedereen dat het een plaats in België is

EraYaN @SpoekGTi • 28 augustus 2019 00:04

Als jij gewoon een wachtwoord manager gebruikt en dan gewoon de 12-16+ willekeurige karakters aantikt gaan ze dat echt niet kunnen brute forcen op de t-mobile website hoor, dan gaat je account gewoon dicht.

Op dit item kan niet meer gereageerd worden.

'06-nummers T-Mobile zijn na komst e-sim makkelijker over te nemen door hackers'

Lees meer

E-sim is gearriveerd in Nederland

Reacties (128)

Sorteer op:

Weergave: