T-Mobile stuurt klanten verificatie-sms voor beveiliging e-sim

Provider T-Mobile gaat klanten een sms sturen via de oude simkaart voordat ze kunnen overstappen naar het gebruik van een e-sim. Dat moet voorkomen dat kwaadwillenden het mobiele nummer kunnen overnemen en zo toegang krijgen tot andere accounts.

De beveiligingsmethode moet simswapping voorkomen, meldt RTL Nieuws. RTL kwam er vorige week vlak na de introductie van e-sim bij T-Mobile achter dat het gebrek aan beveiligingsmaatregelen het gemakkelijk maakte om mobiele nummers over te nemen. Als een kwaadwillende toegang heeft tot My T-Mobile van een klant, is het mogelijk daarin een e-sim aan te vragen en direct te scannen. Dat kan door inloggegevens te ontfutselen of door gebruik te maken van de hotspot van een beoogd slachtoffer. Op het netwerk van T-Mobile hoeven klanten standaard geen gebruikersnaam of wachtwoord in te voeren in My T-Mobile.

De beveiliging moet dat voorkomen, omdat dan toegang tot de oude fysieke simkaart nodig is om het overnemen van het mobiele nummer mogelijk te maken. T-Mobile had de beveiligingsmaatregel al op de roadmap staan. "Maar de aandacht die het heeft gekregen in de media, heeft de aankondiging van deze maatregel versneld", zegt woordvoerder Joost Vente tegen Tweakers. Klanten krijgen de verificatie-sms vanaf donderdag.

Apple en Google hebben e-sim geïmplementeerd als chipje op het moederbord van diverse van hun modellen. In de software van de telefoon kunnen gebruikers via een qr-code een profiel van een mobiel abonnement downloaden, waarna ze het mobiele abonnement normaal kunnen gebruiken. Bij het wisselen van telefoon moet de e-sim opnieuw als profiel worden gedownload. Tweakers heeft een achtergrondverhaal over het gebruik van e-sim gepubliceerd. E-sim werkt op de iPhone XR, XS en XS Max, terwijl Google de Pixel 2, 2XL, 3, 3XL, 3a en 3a XL van e-sim heeft voorzien. Ook de Planet Gemini-pda heeft e-sim aan boord.

E-sim bij T-Mobile

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 04-09-2019 15:10
55 • submitter: nlboy

04-09-2019 • 15:10

55

Submitter: nlboy

Lees meer

Simswappers stalen duizenden euro's aan cryptovaluta via datalek telefoonwinkel
Simswappers stalen duizenden euro's aan cryptovaluta via datalek telefoonwinkel Nieuws van 20 maart 2021
KPN biedt 'binnenkort' e-sim aan voor consumenten
KPN biedt 'binnenkort' e-sim aan voor consumenten Nieuws van 1 september 2020
Simyo ondersteunt e-sim op Android-telefoons
Simyo ondersteunt e-sim op Android-telefoons Nieuws van 18 mei 2020
KPN-dochter Simyo begint met ondersteuning e-sim
KPN-dochter Simyo begint met ondersteuning e-sim Nieuws van 27 februari 2020
Belgische provider Orange gaat e-sim ondersteunen
Belgische provider Orange gaat e-sim ondersteunen Nieuws van 20 februari 2020
T-Mobile Nederland stopt met twee goedkopere abonnementen en USA-abo
T-Mobile Nederland stopt met twee goedkopere abonnementen en USA-abo Nieuws van 9 september 2019
Twitter schakelt functie om tweets te sturen via sms uit
Twitter schakelt functie om tweets te sturen via sms uit Nieuws van 5 september 2019
'06-nummers T-Mobile zijn na komst e-sim makkelijker over te nemen door hackers'
'06-nummers T-Mobile zijn na komst e-sim makkelijker over te nemen door hackers' Nieuws van 27 augustus 2019
T-Mobile begint met aanbieden van e-sim in Nederland
T-Mobile begint met aanbieden van e-sim in Nederland Nieuws van 21 augustus 2019
Meer producten en artikelen
Smartphones T-Mobile Beveiliging Nederland Simkaart

Reacties (55)

-Moderatie-faq
55
55
38
1
0
7
Wijzig sortering
jimbo123 4 september 2019 15:25
En hoe gaat het dan bij een nieuw mobiel nummer? Dan heb je geen oude simkaart om een sms op te ontvangen...
SunnieNL @jimbo1234 september 2019 15:42
Als je een nieuw nummer heeft gaat toch het hele probleem niet op?

het probleem was nu dat je zonder enige vorm van security een esim kon aanvragen als bestaande klant. Daarbij werd dan je oude sim gedeactiveerd en de nieuwe geactiveerd zonder verificatie of jij wel jij bent.
Dat is nu opgelost.

Bij een nieuw nummer krijg je gewoon de brief opgestuurd met de QR code en pincode voor activatie.
vosManz 4 september 2019 15:25
Op het netwerk van T-Mobile hoeven klanten standaard geen gebruikersnaam of wachtwoord in te voeren in My T-Mobile.
Is dit niet juist het beveiligingsprobleem dat opgelost moet worden? Ik heb zelf geen T-Mobile, maar als ik het goed begrijp kun je nu dus in andermans My T-Mobile account om zaken in te zien (of aan te passen?) zonder in te hoeven loggen wanneer je via dat T-Mobile netwerk verbonden bent? Lijkt me een aardige fout bij het ontwerpen van dit systeem. Dat je verbonden bent via dat netwerk wil natuurlijk niet zeggen dat jij de eigenaar van het account bent. Je kan natuurlijk zeggen dat je geen hotspot moet maken, maar op dat moment denk je er waarschijnlijk niet aan dat men dan in je My T-Mobile account kan. Is dit ook van toepassing voor T-Mobile Thuis (vast internet)? Want daar geef je denk ik veel sneller iemand toegang tot je wifi, waarbij je ook niet verwacht dat die persoon dan zonder in te loggen in je My T-Mobile account kan..
Anoniem: 767041 @vosManz4 september 2019 15:31
Je hoeft idd geen gebruikersnaam en of wachtwoord te gebruiken bij het inloggen op my tmobile site, alleen hiervoor hebben ze dus een optie ingebouwd in de tmobile app zelf zodat je een gebruikers naam en wachtwoord NODIG heb, dus met die optie in de app kan je niet meer met je nummer inloggen

In het kort een opt in schuif achtig ding. Je kan het aan of uitzetten dat je met je nummer inlogt
Frikandel @Anoniem: 7670414 september 2019 15:46
Het is opt-out, staat dus standaard aan.
Anoniem: 767041 @Frikandel4 september 2019 15:48
Oh ja dat kan ook
brammetje1994 @Anoniem: 7670414 september 2019 16:05
De reden dat je kan inloggen op je 06-nummer is vaak omdat gebruikers dit zelf invullen/dit de standaard user name is bij het resetten van het wachtwoord. Wanneer een T-Mobile Medewerker een account aanmaakt krijgt deze een gebruikersnaam (06-nummer) en een tijdelijk wachtwoord. Je kan deze ten alle tijden aanpassen.
brammetje1994 @vosManz4 september 2019 15:47
Dit is enkel van toepassing op mobiele accounts én is aanpasbaar voor gebruikers. Vanuit mijn account:
https://ibb.co/tmT3zQV

Het gaat natuurlijk om veiligheid vs gemak. Ik vind het fijn dat ik de optie heb. Mijn hotspot is namelijk altijd beveiligd met een wachtwoord.
vosManz @brammetje19944 september 2019 15:55
De tekst 'Automatisch inloggen werkt alleen als je op ons netwerk zit, zoals 4g' doet me vermoeden dat het ook via een vaste verbinding zo is. Dan zit je immers ook op het T-Mobile netwerk. Heb je zelf kunnen testen op het vaste netwerk dat het daar inderdaad niet werkt?

Staat die optie standaard aan of standaard uit? Want als die standaard aan staat weet waarschijnlijk 90+% van de klanten niet eens van die optie af.
brammetje1994 @vosManz4 september 2019 16:03
Nou, dat is dus niet zo voor T-Mobile Thuis.
Bron: T-Mobile medewerker en klant.

Ik heb werkelijk geen idee, ik kan mij herinneren dat het je vraagt als je voor het eerst inlogt na het aanmaken van een account.

Daarbij: als je dom genoeg bent om een WiFi hotspot openbaar te maken dan denk ik dat je grotere problemen hebt dan je T-Mobile account.
vosManz @brammetje19944 september 2019 16:33
Je hoeft hem niet openbaar te zetten. Je kan hem ook 'beveiligd' voor iemand aan zetten, bijvoorbeeld het puberende kind van een kennis die tijdens een feestje vervelend aan het doen is omdat z'n internetbundel op is. Denk je even te helpen (en 'm stil te krijgen) met je onbeperkt internet maar denk je hier niet aan, ben je mooi de sjaak bij iemand die je denkt te kunnen vertrouwen.

En dan nog, al zet je hem openbaar omdat er op dat feestje 5 van die puberende kinderen zitten en dat gemakkelijker is dan iedereen een wachtwoord geven, en er is verder niemand binnen wifi bereik die er misbruik van kan maken (denk je) dan denk je er nog niet aan dat die zo in je T-Mobile account kunnen komen.

Het is gewoon slechte beveiliging, daar lijkt mij geen twijfel over mogelijk.
brammetje1994 @vosManz4 september 2019 16:36
Het is een functie die je aan mag zetten, maar het hoeft niet. Dan laat je hem toch uit?

Hoe kan een kind van 5 hier misbruik van maken?
ofc @brammetje19944 september 2019 17:55
In het verleden stond het default aan en werkte het uitzetten niet goed bij 4G voor thuis. Ik heb geen abonnement meer, dus misschien werkt het nu beter, maar ik zou er niet zomaar vanuit gaan dat het veilig is.

https://community.t-mobil...zetten-my-t-mobile-274933
https://community.t-mobil...klacht-inz-datalek-306388
aqu 4 september 2019 15:21
Het lezen van deze zin:

"T-Mobile had de beveiligingsmaatregel al op de roadmap staan. "Maar de aandacht die het heeft gekregen in de media, heeft de aankondiging van deze maatregel versneld","

Geeft mij toch een beetje een onbehagelijk gevoel. Ze hadden dus al wel door dat het mogelijk was maar er dus bewust voor gekozen om niets te doen.
SunnieNL @aqu4 september 2019 15:38
Zoals wel vaker komt marketing en uitbrengen (geld in laadje) voor het punt dat alles klaar is.
batjes @aqu4 september 2019 15:38
Of er zit een proces achter wat een doorlooptijd had met een toegewezen budget. Door de media aandacht is er misschien meer budget beschikbaar, hebben ze een blikje inhuurkrachten kunnen lostrekken en het toch versneld kunnen uitrollen.

Binnen organisaties kan er ineens veel meer gebeuren, en veel sneller. Als iets plotseling een hogere prioriteit krijgt.

Nog steeds slordig dat dit zo mogelijk was, maar security is ondanks alle aandacht de laatste jaren, in te veel gevallen nog altijd bijzaak.
davidov @aqu4 september 2019 15:54
Je brengt het negatiever dan het is, het stond al in de planning.
Ze hadden dus al wel door dat het mogelijk was maar er dus bewust voor gekozen om niets te doen het binnenkort aan te pakken.
Ok, ok, dat betekende aanvankelijk "we doen NU niets", tja prioriteiten enzo.

[Reactie gewijzigd door davidov op 1 augustus 2024 05:26]

WillySis 4 september 2019 15:24
Dan moet de oude telefoon nog wel werken!
Of je moet natuurlijk een telefoon lenen waar je even jou oude simkaart in mag stoppen. Als je al toestel met een e-sim had ben je mooi in de aap gelogeerd.
Ik zie dit maar als een tijdelijke oplossing, die bruikbaar is totdat de eerste generatie toestellen met een e-sim vervangen gaan worden.
NSG @WillySis4 september 2019 15:34
Zijn er al smartphones met enkel een e-Sim dan? De Toestellen die T-mobile momenteel ondersteund, hebben gewoon een slot voor een fysieke simkaart, dus de situatie die je schetst, zal nooit voorkomen.
ASS-Ware @NSG4 september 2019 15:53
Zijn er al smartphones met enkel een e-Sim dan? De Toestellen die T-mobile momenteel ondersteund, hebben gewoon een slot voor een fysieke simkaart, dus de situatie die je schetst, zal nooit voorkomen.
Als je al een esim hebt en je telefoon is stuk, dan kun je je normale sim al niet meer gebruiken he.
KWOAD @ASS-Ware4 september 2019 18:28
Maar als je al een e-sim had, dan is het een andere situatie dan in het artikel beschreven. In het artikel gaat het over "van sim naar e-sim". Niet "van e-sim naar e-sim".
ASS-Ware @KWOAD4 september 2019 18:36
Maar als je al een e-sim had, dan is het een andere situatie dan in het artikel beschreven. In het artikel gaat het over "van sim naar e-sim". Niet "van e-sim naar e-sim".
Als je al een sim hebt en je telefoon is gestolen, dan kun je je normale sim al niet meer gebruiken he.
KWOAD @ASS-Ware5 september 2019 09:47
Maar bij diefstal is het ook geen “van sim naar e-sim”. Dan laat je sowieso je sim blokkeren en daar is neem ik aan ook aanvullende verificatie voor nodig,
WillySis @NSG6 september 2019 21:13
Wie een e-sim heeft heeft geen sim-kaart meer. Als men die nog heeft, zal die vermoedelijk niet meer bruikbaar zijn zodra hetzelfde nummer op een e-sim wordt gezet.
Een telefoon kan helaas kapot gaan. Dat kan zelfs met een bijna nieuwe telefoon. Het kan in theorie dus al heel snel voorkomen dat een toestel waarop een e-sim wordt gebruikt vervangen moet worden.
SunnieNL @WillySis4 september 2019 15:41
Het is een verificatie als je hem aanvraagt via de website.
Op het moment dat je toestel kapot is kun je ook naar een tmobile winkel of met een ander toestel de klantenservice bellen om het te regelen. Die hebben andere verificatie mogelijkheden.

Er gaan dus meerdere wegen naar Rome en je moet in jou situatie de meest praktische selecteren.

In heel veel gevallen heeft iemand nog wel een werkende telefoon en kun je via je oude telefoon nog gewoon antwoord geven. Dat kleine percentage dat zijn telefoon helemaal naar het grootje heeft kan de andere methode gebruiken.
PerlinNoise 4 september 2019 15:31
Waarom geen TOTP (Time-based One-time Password) aan je account kunnen koppelen voor 2FA via Google Authenticator of andOTP zoals ik gebruik op Android? Veiliger als sms.
nl03228 @PerlinNoise4 september 2019 15:58
Authy werkt ook prima.

Het voordeel is ook meteen het nadeel...het account wordt in de cloud opgeslagen.
Geweldig als je meerdere devices hebt, of als je een nieuwe mobiel krijgt.

(het wachtwoord voor Authy zelf heb ik maar ultra beveiligd :) )
PerlinNoise @nl032284 september 2019 16:06
Daarom gebruik ik andOTP, geen account of cloud. Zelf wel af en toe backuppen. :)
Mushroomician @PerlinNoise4 september 2019 16:16
Nadat je toestel is gereset beschik je meestal niet meer over al die dingen. Je hebt dan sms auth of totp nodig om in te kunnen loggen, maar je mowt inloggen om topt of sms auth in te stellen. Paradox dus. Als je geen fisysieke sim hebt of simsleuf lijkt me dit trouwens wel een probleem.
_Thanatos_ 4 september 2019 15:27
Dus wat ze eigenlijk zeggen: verkoop je oude telefoon nog niet, want daarop kun je die SMS ontvangen om de e-SIM in je nieuwe telefoon te activeren.
SunnieNL @_Thanatos_4 september 2019 15:43
Ik denk dat er maar weinig mensen zijn die eerst hun oude telefoon verkopen en dan pas een nieuwe kopen....
_Thanatos_ @SunnieNL4 september 2019 17:08
Dat suggereer ik ook niet. Je kunt toch je oude telefoon verkopen zodra je je nieuwe hebt... Maar dan kom je erachter dat je je oude nog even nodig had. Dan baal je toch.
SunnieNL @_Thanatos_4 september 2019 19:36
Tuurlijk niet.. die nieuwe activeer je toch eerst?? En de eSim kun je ook een dagje eerder aanvragen en via sms bevestigen. Je oude sim wordt pas uitgeschakeld als de nieuwe eSim zijn activatie doorlopen heeft, net als bij een normale simwissel.
_Thanatos_ @SunnieNL5 september 2019 17:22
Oh nou ik weet niet hoe een "simwissel" werkt. Ik doe dat niet dagelijks. Ik heb dat in m'n hele leven mss twee keer ofzo gedaan. En de laatste keer was zeker 10 jaar geleden.

Maargoed als je naar een andere provider overstapt, dan moeten die twee dus wel heel strak met elkaar kortsluiten wie wanneer actief/inactief wordt. En gezien ik zelf bij een bekende provider gewerkt heb, kan ik je vertellen dat zoiets allesbehalve strak is.
Martinspire 4 september 2019 15:47
Netjes om te zien dat het niet te lang geduurd heeft om dit op te lossen. Hoop dat de gedupeerden snel geholpen zijn.

Hoe zit het eigenlijk met de andere providers? Hebben die dergelijke verificatie lopen? T-Mobile was dan de eerste die de uitrol deed, maar wanneer komt de rest daar dan mee? Wellicht dat Tweakers daar wat onderzoek in kan doen?

[Reactie gewijzigd door Martinspire op 23 juli 2024 08:35]

NextGenOscar 4 september 2019 15:50
T-Mobile doet dit al langer, ben vorige week naar een iPhone XR overgestapt en als primaire sim gekozen voor een eSIM, en ik kreeg eerst nog een sms op mijn oude telefoon met mijn fysieke sim kaart!
tommyx 4 september 2019 15:54
je weet hoe die dingen gaat.. AGILE SNEL SNEL SNELL!!!
en dan: |:(
Anoniem: 169091 4 september 2019 15:56
Leuk en aardig, maar de meeste mensen hebben notificaties zichtbaar op hun lockscreen.

Juist de meest kwetsbare bug, activatie via automatisch inloggen via hotspot, wordt hierdoor totaal niet gedicht.

Enige juiste beveiliging is fysiek langsgaan bij een winkel en legitimatie tonen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq