Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

T-Mobile stuurt klanten verificatie-sms voor beveiliging e-sim

Provider T-Mobile gaat klanten een sms sturen via de oude simkaart voordat ze kunnen overstappen naar het gebruik van een e-sim. Dat moet voorkomen dat kwaadwillenden het mobiele nummer kunnen overnemen en zo toegang krijgen tot andere accounts.

De beveiligingsmethode moet simswapping voorkomen, meldt RTL Nieuws. RTL kwam er vorige week vlak na de introductie van e-sim bij T-Mobile achter dat het gebrek aan beveiligingsmaatregelen het gemakkelijk maakte om mobiele nummers over te nemen. Als een kwaadwillende toegang heeft tot My T-Mobile van een klant, is het mogelijk daarin een e-sim aan te vragen en direct te scannen. Dat kan door inloggegevens te ontfutselen of door gebruik te maken van de hotspot van een beoogd slachtoffer. Op het netwerk van T-Mobile hoeven klanten standaard geen gebruikersnaam of wachtwoord in te voeren in My T-Mobile.

De beveiliging moet dat voorkomen, omdat dan toegang tot de oude fysieke simkaart nodig is om het overnemen van het mobiele nummer mogelijk te maken. T-Mobile had de beveiligingsmaatregel al op de roadmap staan. "Maar de aandacht die het heeft gekregen in de media, heeft de aankondiging van deze maatregel versneld", zegt woordvoerder Joost Vente tegen Tweakers. Klanten krijgen de verificatie-sms vanaf donderdag.

Apple en Google hebben e-sim geïmplementeerd als chipje op het moederbord van diverse van hun modellen. In de software van de telefoon kunnen gebruikers via een qr-code een profiel van een mobiel abonnement downloaden, waarna ze het mobiele abonnement normaal kunnen gebruiken. Bij het wisselen van telefoon moet de e-sim opnieuw als profiel worden gedownload. Tweakers heeft een achtergrondverhaal over het gebruik van e-sim gepubliceerd. E-sim werkt op de iPhone XR, XS en XS Max, terwijl Google de Pixel 2, 2XL, 3, 3XL, 3a en 3a XL van e-sim heeft voorzien. Ook de Planet Gemini-pda heeft e-sim aan boord.

Door Arnoud Wokke

Redacteur mobile

04-09-2019 • 15:10

55 Linkedin Google+

Submitter: nlboy

Reacties (55)

Wijzig sortering
En hoe gaat het dan bij een nieuw mobiel nummer? Dan heb je geen oude simkaart om een sms op te ontvangen...
Als je een nieuw nummer heeft gaat toch het hele probleem niet op?

het probleem was nu dat je zonder enige vorm van security een esim kon aanvragen als bestaande klant. Daarbij werd dan je oude sim gedeactiveerd en de nieuwe geactiveerd zonder verificatie of jij wel jij bent.
Dat is nu opgelost.

Bij een nieuw nummer krijg je gewoon de brief opgestuurd met de QR code en pincode voor activatie.
Op het netwerk van T-Mobile hoeven klanten standaard geen gebruikersnaam of wachtwoord in te voeren in My T-Mobile.
Is dit niet juist het beveiligingsprobleem dat opgelost moet worden? Ik heb zelf geen T-Mobile, maar als ik het goed begrijp kun je nu dus in andermans My T-Mobile account om zaken in te zien (of aan te passen?) zonder in te hoeven loggen wanneer je via dat T-Mobile netwerk verbonden bent? Lijkt me een aardige fout bij het ontwerpen van dit systeem. Dat je verbonden bent via dat netwerk wil natuurlijk niet zeggen dat jij de eigenaar van het account bent. Je kan natuurlijk zeggen dat je geen hotspot moet maken, maar op dat moment denk je er waarschijnlijk niet aan dat men dan in je My T-Mobile account kan. Is dit ook van toepassing voor T-Mobile Thuis (vast internet)? Want daar geef je denk ik veel sneller iemand toegang tot je wifi, waarbij je ook niet verwacht dat die persoon dan zonder in te loggen in je My T-Mobile account kan..
Je hoeft idd geen gebruikersnaam en of wachtwoord te gebruiken bij het inloggen op my tmobile site, alleen hiervoor hebben ze dus een optie ingebouwd in de tmobile app zelf zodat je een gebruikers naam en wachtwoord NODIG heb, dus met die optie in de app kan je niet meer met je nummer inloggen

In het kort een opt in schuif achtig ding. Je kan het aan of uitzetten dat je met je nummer inlogt
Het is opt-out, staat dus standaard aan.
De reden dat je kan inloggen op je 06-nummer is vaak omdat gebruikers dit zelf invullen/dit de standaard user name is bij het resetten van het wachtwoord. Wanneer een T-Mobile Medewerker een account aanmaakt krijgt deze een gebruikersnaam (06-nummer) en een tijdelijk wachtwoord. Je kan deze ten alle tijden aanpassen.
Dit is enkel van toepassing op mobiele accounts én is aanpasbaar voor gebruikers. Vanuit mijn account:
https://ibb.co/tmT3zQV

Het gaat natuurlijk om veiligheid vs gemak. Ik vind het fijn dat ik de optie heb. Mijn hotspot is namelijk altijd beveiligd met een wachtwoord.
De tekst 'Automatisch inloggen werkt alleen als je op ons netwerk zit, zoals 4g' doet me vermoeden dat het ook via een vaste verbinding zo is. Dan zit je immers ook op het T-Mobile netwerk. Heb je zelf kunnen testen op het vaste netwerk dat het daar inderdaad niet werkt?

Staat die optie standaard aan of standaard uit? Want als die standaard aan staat weet waarschijnlijk 90+% van de klanten niet eens van die optie af.
Nou, dat is dus niet zo voor T-Mobile Thuis.
Bron: T-Mobile medewerker en klant.

Ik heb werkelijk geen idee, ik kan mij herinneren dat het je vraagt als je voor het eerst inlogt na het aanmaken van een account.

Daarbij: als je dom genoeg bent om een WiFi hotspot openbaar te maken dan denk ik dat je grotere problemen hebt dan je T-Mobile account.
Je hoeft hem niet openbaar te zetten. Je kan hem ook 'beveiligd' voor iemand aan zetten, bijvoorbeeld het puberende kind van een kennis die tijdens een feestje vervelend aan het doen is omdat z'n internetbundel op is. Denk je even te helpen (en 'm stil te krijgen) met je onbeperkt internet maar denk je hier niet aan, ben je mooi de sjaak bij iemand die je denkt te kunnen vertrouwen.

En dan nog, al zet je hem openbaar omdat er op dat feestje 5 van die puberende kinderen zitten en dat gemakkelijker is dan iedereen een wachtwoord geven, en er is verder niemand binnen wifi bereik die er misbruik van kan maken (denk je) dan denk je er nog niet aan dat die zo in je T-Mobile account kunnen komen.

Het is gewoon slechte beveiliging, daar lijkt mij geen twijfel over mogelijk.
Het is een functie die je aan mag zetten, maar het hoeft niet. Dan laat je hem toch uit?

Hoe kan een kind van 5 hier misbruik van maken?
In het verleden stond het default aan en werkte het uitzetten niet goed bij 4G voor thuis. Ik heb geen abonnement meer, dus misschien werkt het nu beter, maar ik zou er niet zomaar vanuit gaan dat het veilig is.

https://community.t-mobil...zetten-my-t-mobile-274933
https://community.t-mobil...klacht-inz-datalek-306388
Het lezen van deze zin:

"T-Mobile had de beveiligingsmaatregel al op de roadmap staan. "Maar de aandacht die het heeft gekregen in de media, heeft de aankondiging van deze maatregel versneld","

Geeft mij toch een beetje een onbehagelijk gevoel. Ze hadden dus al wel door dat het mogelijk was maar er dus bewust voor gekozen om niets te doen.
Zoals wel vaker komt marketing en uitbrengen (geld in laadje) voor het punt dat alles klaar is.
Of er zit een proces achter wat een doorlooptijd had met een toegewezen budget. Door de media aandacht is er misschien meer budget beschikbaar, hebben ze een blikje inhuurkrachten kunnen lostrekken en het toch versneld kunnen uitrollen.

Binnen organisaties kan er ineens veel meer gebeuren, en veel sneller. Als iets plotseling een hogere prioriteit krijgt.

Nog steeds slordig dat dit zo mogelijk was, maar security is ondanks alle aandacht de laatste jaren, in te veel gevallen nog altijd bijzaak.
Je brengt het negatiever dan het is, het stond al in de planning.
Ze hadden dus al wel door dat het mogelijk was maar er dus bewust voor gekozen om niets te doen het binnenkort aan te pakken.
Ok, ok, dat betekende aanvankelijk "we doen NU niets", tja prioriteiten enzo.

[Reactie gewijzigd door davidov op 4 september 2019 15:56]

Dan moet de oude telefoon nog wel werken!
Of je moet natuurlijk een telefoon lenen waar je even jou oude simkaart in mag stoppen. Als je al toestel met een e-sim had ben je mooi in de aap gelogeerd.
Ik zie dit maar als een tijdelijke oplossing, die bruikbaar is totdat de eerste generatie toestellen met een e-sim vervangen gaan worden.
Zijn er al smartphones met enkel een e-Sim dan? De Toestellen die T-mobile momenteel ondersteund, hebben gewoon een slot voor een fysieke simkaart, dus de situatie die je schetst, zal nooit voorkomen.
Zijn er al smartphones met enkel een e-Sim dan? De Toestellen die T-mobile momenteel ondersteund, hebben gewoon een slot voor een fysieke simkaart, dus de situatie die je schetst, zal nooit voorkomen.
Als je al een esim hebt en je telefoon is stuk, dan kun je je normale sim al niet meer gebruiken he.
Maar als je al een e-sim had, dan is het een andere situatie dan in het artikel beschreven. In het artikel gaat het over "van sim naar e-sim". Niet "van e-sim naar e-sim".
Maar als je al een e-sim had, dan is het een andere situatie dan in het artikel beschreven. In het artikel gaat het over "van sim naar e-sim". Niet "van e-sim naar e-sim".
Als je al een sim hebt en je telefoon is gestolen, dan kun je je normale sim al niet meer gebruiken he.
Maar bij diefstal is het ook geen “van sim naar e-sim”. Dan laat je sowieso je sim blokkeren en daar is neem ik aan ook aanvullende verificatie voor nodig,
Wie een e-sim heeft heeft geen sim-kaart meer. Als men die nog heeft, zal die vermoedelijk niet meer bruikbaar zijn zodra hetzelfde nummer op een e-sim wordt gezet.
Een telefoon kan helaas kapot gaan. Dat kan zelfs met een bijna nieuwe telefoon. Het kan in theorie dus al heel snel voorkomen dat een toestel waarop een e-sim wordt gebruikt vervangen moet worden.
Het is een verificatie als je hem aanvraagt via de website.
Op het moment dat je toestel kapot is kun je ook naar een tmobile winkel of met een ander toestel de klantenservice bellen om het te regelen. Die hebben andere verificatie mogelijkheden.

Er gaan dus meerdere wegen naar Rome en je moet in jou situatie de meest praktische selecteren.

In heel veel gevallen heeft iemand nog wel een werkende telefoon en kun je via je oude telefoon nog gewoon antwoord geven. Dat kleine percentage dat zijn telefoon helemaal naar het grootje heeft kan de andere methode gebruiken.
Waarom geen TOTP (Time-based One-time Password) aan je account kunnen koppelen voor 2FA via Google Authenticator of andOTP zoals ik gebruik op Android? Veiliger als sms.
Authy werkt ook prima.

Het voordeel is ook meteen het nadeel...het account wordt in de cloud opgeslagen.
Geweldig als je meerdere devices hebt, of als je een nieuwe mobiel krijgt.

(het wachtwoord voor Authy zelf heb ik maar ultra beveiligd :) )
Daarom gebruik ik andOTP, geen account of cloud. Zelf wel af en toe backuppen. :)
Nadat je toestel is gereset beschik je meestal niet meer over al die dingen. Je hebt dan sms auth of totp nodig om in te kunnen loggen, maar je mowt inloggen om topt of sms auth in te stellen. Paradox dus. Als je geen fisysieke sim hebt of simsleuf lijkt me dit trouwens wel een probleem.
Dus wat ze eigenlijk zeggen: verkoop je oude telefoon nog niet, want daarop kun je die SMS ontvangen om de e-SIM in je nieuwe telefoon te activeren.
Ik denk dat er maar weinig mensen zijn die eerst hun oude telefoon verkopen en dan pas een nieuwe kopen....
Dat suggereer ik ook niet. Je kunt toch je oude telefoon verkopen zodra je je nieuwe hebt... Maar dan kom je erachter dat je je oude nog even nodig had. Dan baal je toch.
Tuurlijk niet.. die nieuwe activeer je toch eerst?? En de eSim kun je ook een dagje eerder aanvragen en via sms bevestigen. Je oude sim wordt pas uitgeschakeld als de nieuwe eSim zijn activatie doorlopen heeft, net als bij een normale simwissel.
Oh nou ik weet niet hoe een "simwissel" werkt. Ik doe dat niet dagelijks. Ik heb dat in m'n hele leven mss twee keer ofzo gedaan. En de laatste keer was zeker 10 jaar geleden.

Maargoed als je naar een andere provider overstapt, dan moeten die twee dus wel heel strak met elkaar kortsluiten wie wanneer actief/inactief wordt. En gezien ik zelf bij een bekende provider gewerkt heb, kan ik je vertellen dat zoiets allesbehalve strak is.
Netjes om te zien dat het niet te lang geduurd heeft om dit op te lossen. Hoop dat de gedupeerden snel geholpen zijn.

Hoe zit het eigenlijk met de andere providers? Hebben die dergelijke verificatie lopen? T-Mobile was dan de eerste die de uitrol deed, maar wanneer komt de rest daar dan mee? Wellicht dat Tweakers daar wat onderzoek in kan doen?

[Reactie gewijzigd door Martinspire op 4 september 2019 15:48]

T-Mobile doet dit al langer, ben vorige week naar een iPhone XR overgestapt en als primaire sim gekozen voor een eSIM, en ik kreeg eerst nog een sms op mijn oude telefoon met mijn fysieke sim kaart!
je weet hoe die dingen gaat.. AGILE SNEL SNEL SNELL!!!
en dan: |:(
Leuk en aardig, maar de meeste mensen hebben notificaties zichtbaar op hun lockscreen.

Juist de meest kwetsbare bug, activatie via automatisch inloggen via hotspot, wordt hierdoor totaal niet gedicht.

Enige juiste beveiliging is fysiek langsgaan bij een winkel en legitimatie tonen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Moederborden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True