Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Aanvaller kon door fout op website ieder Lebara-telefoonnummer overnemen

Telefoonnummers van klanten van Lebara konden makkelijk via de site worden overgenomen. Op de site bleek het proces om een telefoonnummer over te zetten naar een andere simkaart niet goed te werken, vertelt een tipgever aan de NOS.

Door het beveiligingsprobleem was het mogelijk ieder telefoonnummer over te zetten naar een andere simkaart. Lebara biedt die mogelijkheid aan op de website. Daarvoor zou een gebruiker op zowel de oude als de nieuwe simkaart een verificatie-sms moeten ontvangen, maar dat hoefde niet, ontdekte een tipgever die daarmee naar de NOS stapte.

Het was mogelijk om twee verificatiecodes op alleen de nieuwe simkaart aan te vragen, zodat er geen interactie met de andere simkaart nodig was. Daardoor was het mogelijk het telefoonnummer van een willekeurig Lebara-nummer over te zetten naar een nieuwe simkaart.

De NOS heeft het probleem doorgegeven aan Lebara. De virtuele provider heeft het probleem vervolgens opgelost. De module op de site om over te stappen is tijdelijk offline geweest. De provider zegt dat er 'geen aanleiding is om aan te nemen dat het lek misbruikt is'.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

14-01-2021 • 17:18

34 Linkedin

Reacties (34)

Wijzig sortering
De provider zegt dat er 'geen aanleiding is om aan te nemen dat het lek misbruikt is'.
Damage control much? Aannames.
De enige manier waarop we er achter komen is als mensen die getroffen zouden zijn zich melden. Werkt je sim kaart ineens niet, bel je het nummer neemt iemand anders op dan zal er misbruik gemaakt zijn.

De provider zou dan ook klacht ontvangen moeten hebben. Je zou ook kunnen stellen als er een klacht(en) geweest zouden zijn en deze zouden onderzocht zijn had men via log files kunnen zien dat iemand dit had gedaan.
Was men er achter gekomen dat kun je aannemen dat ze de module zelf ook zouden hebben onderzocht en offline genomen hebben. Aangezien dat schijnbaar niet gebeurt is kun je aannemen dat er geen misbruik gemaakt is.
Ze kunnen het nooit volledig uitsluiten dus ze zullen in dit soort gevallen altijd een statement geven waarbij ze er altijd later op terug kunnen komen. De maten van het onderzoek dat ze verricht hebben is natuurlijk in twijfel te trekken ;)
Zeg nooit nooit, als er logs zijn is het mogelijk wel 100% uit te sluiten. Maar ik vrees dat je gelijk hebt ;)
Zeg nooit nooit, als er logs zijn is het mogelijk wel 100% uit te sluiten.
In de aanname dat alles gelogd wordt, dat de integriteit van de logs afdoende beschermd is, dat wat gezocht wordt vindbaar is en dat er lang genoeg gelogd wordt.

[Reactie gewijzigd door The Zep Man op 14 januari 2021 18:18]

Ik neem aan dat ze in de logfiles wel kunnen terugvinden voor welke number ports de bevestigings smsjes naar enkel de nieuwe sim zijn gestuurd. Zelfs als die er zijn (wat er waarschijnlijk weinig zijn) kan je die ports handmatig checken en dus wel degelijk een uitspraak doen over misbruik.
Of ze dat ook gedaan hebben weten we niet maar zekerheid krijgen wel degelijk mogelijk
Zolang niemand komt klagen kan je aannemen dat het lek niet misbruikt is geweest. Volledig uitsluiten kan niet, maar ik denk niet dat er vele mensen zijn waarbij het telefoonnummer ineens niet meer werkt en die dan geen contact opnemen met de provider om het probleem te verhelpen.
Ik heb dit lek kunnen gebruiken met goede bedoelingen. Of er ook misbruik is geweest... Tjah dunno
Die hacker nam de kreet 'lekker bellen met Lebara' wel heel letterlijk!
Lekker veilig voor 2fa dit.
Je kan sowieso beter geen SMS gebruiken als 2e factor aangezien er talloze wijzen zijn waarop dit onderschept kan worden.
.

[Reactie gewijzigd door Iva_Bigone op 15 januari 2021 10:17]

Telefoonnummers spoofen (voor zowel SMS als bellen) is kinderwerk. Enige wat je nodig hebt is een SIP provider en je kan je uitleven, althans dit was sowieso het geval een aantal jaren geleden toen ik me er nog enigsinds mee bezig hield.
Dat is nog steeds zo. Het is kinderlijk eenvoudig zo'n dienst te huren en zelfs te spoofen alsof je telefoon het nummer herkent.
Zo werken de bankoplichters die de inlogcodes van (oudere) mensen afsnoepen om hun rekeningen te plunderen.

Opgelicht van een jaar geleden heeft een fragmentje hierover. Als ze al het nummer van de banken spoofen, waarom dan niet het nummer van een doodnormale burger...
Ah, jammer als je het vanuit beveiligings perspectief bekijkt. Maar aan de andere kant heeft het ook wel nuttige use cases.

Een provider waar ik jarenlang gebruik van maakte had een simpele api voor SMS waar je zelf de afzender en inhoud van een SMS als een XML object stuurde, zelf enkel onder vrienden gebruikt om grapjes uit te halen.

Gelukkig zijn vziw meeste banken al van SMS afgestapt, of zijn in het process om daarvan af te stappen. Zo kreeg ik onlangs bericht van ABN dat ze de SMS diensten stopzetten binnenkort.
Dit houdt mij al even bezig. Wat zijn die nuttige use cases van een "vul je eigen afzender nummer in" SMS gateway? Waarom zou je daar als provider niet met op zijn minst een whitelist werken die je maar eens per dag gemotiveerd mag aanpassen?

Ik snap gewoon niet waarom iemand zo veel willekeurige afzenders nodig zou hebben.
Ik heb niet direct een concrete antwoord op je vraag, maar in mijn geval maakte ik gebruik van een b2b provider en maakte ik ook namens klanten gebruik van de SMS diensten, dat scheelt mij aanmaken van een afzonderlijk account per klant.
Ik zie zelf het toegevoegde waarde niet van een whitelist als deze whitelist door de gebruiker beheerd kan worden. Het lijkt mij ook niet praktisch om zo een beperking (max een keer per dag wijzigen) op te leggen op een b2b dienst, want wat zou ik moeten doen als ik meerdere klanten op een dag wil aansluiten en ik de limiet al heb bereikt?

Voor dienstverleners die nog gebruik maken van SMS komt het nog vrij vaak voor dat ze hun handelsnaam als afzender gebruiken. Ik zie dat zelf als iets vergelijkbaars als "no-reply@" als afzender gebruiken voor email.

Als ik zo in mijn SMS historie kijk dan zie ik bijvoorbeeld dat Thuisbezorgd, T-Mobile, DPD en Burgernet hun handelsnamen als afzender gebruiken, dat zijn niet echt partijen waar ik zelf contact mee zou moeten opnemen (T-mobile uitgezonderd, maar daar heb je 1200 nummer voor)
Snap ik, ik had het eigenlijk over wat jij de klant noemt dan. Heel mooi dat Thuisbezorgd een eigen custom afzender wil, maar die zal niet dagelijks wijzigen. Dus daarom een whitelist: geef maar door welk nummer(s) afzender mag zijn, en dat mag je zelden tot nooit wijzigen. Dat voorkomt fraudepogingen maar houdt bedrijfsvoering mogelijk (Thuisbezorgd heet straks Takeaway en wil bijbehorend ander nummer).

Heb jij ooit een use case van een klant gehad die meer dan "heel af en toe" van nummer veranderde? Wat was de reden dan, als je dat zonder NDA issues kan zeggen?
Nee, ik heb dat zelf met klanten niet gehad, maar mijn klanten hadden dan ook geen directe toegang tot de gateway. Daar speelde ik als proxy ertussen en de klant kon enkel de inhoud van de bericht bepalen.

De voornaamste reden in mijn geval voor wijziging van de afzender was branding, dus dat kwam zelden voor. En om de afzender van bijv. Thuisbezord naar Takeaway te wijzigen is het niet vereist dat de nummer gewijzigd hoeft te worden, er wordt immers geen gebruik gemaakt van een telefoonnummer (als afzender) voor SMS berichten.

Hoewel ik wel met je eens ben dat er wel het eea verbeterd kan worden, zal dat echter in uitvoering een stuk lastiger gaan omdat dit medewerking van alle providers zal vereisen. Het is voor mij al een paar jaar geleden dat ik iets met SMS oid heb gedaan, maar als ik het me goed herinner is het zo dat iedereen die toegang heeft tot het SS7 netwerk (normaliter enkel providers) kan alles doen met oa. SMS wat die wilt.
Wat ik me nog vaag kan herinneren is dat het protocol gebouwd is op vertrouwen en dat er geen verificatie wordt uitgevoerd van wie het verzoek komt, of dat nog het geval is durf ik niet te zeggen.

Er is op het gebied van de telecom netwerk en gebruikte protocolen veel interessante dingen te vinden, en vooral over het SS7 protocol sinds die al een aantal jaar geleden opengebroken is.
Het nut van SenderID is dat het Alphanumeric is, dus het veld kan dan "merknaam" zijn. Vooral voor promotionele doeleinden bestaat dit, gelukkig hebben we hier weinig last van sms spam. Ook voor 2fa is dit handig en herkenbaar.

Het probleem is dan ook dat de afzender gewoon een veld is wat je kan vullen. Niet via je telefoon maar wel via andere partijen.

SMS moet je helaas per definitie niet vertrouwen.
De usecase is dat er een bericht naar jouw nummer teruggestuurd kan worden. Of juist niet; dan verschijnt de naam van een bedrijf als afzender bijvoorbeeld.

Zoiets is ook het idee achter het spoofen van caller ID's: een bedrijfscentrale moet een terugbelnummer kunnen meesturen.
Snap ik. Maar waarom moet ik dat op ieder moment zonder wachttijd of verificatie kunnen wijzigen? Zou het niet beter zijn als de telecomprovider afdwingt dat dat nummer a) bewezen door mij beantwoord kan worden en b) slechts eens per maand aangepast mag? Zo vaak verandert je terugbelnummer of je merknaam niet.
Er zijn diensten inderdaad waarmee je met een eigen ingestelde nummer kan bellen, "spoofen".
Vraag me af of die WhatsApp scammers hier gebruik van hebben gemaakt. Zegmaar je telefoonnummer overnemen en vrienden/familie vragen om geld.
Moet je wel net twee nummers van familie leden hebben gehad en weet je ook vrijwel zeker dat het een bekende geweest moet zijn…
Denk dat zoiets ze wel lukt. Ze checken gewoon je Facebook voor je broer/zus/moeder/tante en kijken evt het telefoonnummer via een gelekte db. De moeder van mijn vriendin werd ooit benaderd via WhatsApp door haar "zus". Maar de scammers wisten niet dat haar zus al een tijdje was overleden...

Haar (moeder van mijn vriendin) telefoonnummer was niet publiekelijk te vinden, dus de link met familieleden e.d. kunnen ze wel maken.
Helaas gebeurt zoiets wel.

Stel de "hacker" ziet dat iemands dochter (met Lebara nr) op vakantie gaat naar de Griekenland oid op haar publieke Instagram pagina. Die pakt haar nummer via een gelekte kleding webshop db, appt haar vader (nr verkregen via een of andere e-matching site), en komt met een verhaal als "Ja mijn vliegticket is geblokkeerd en mijn rekening nr ook, dus kan nergens inchecken en mijn mobiel is zo leeg, kan je alsjeblieft via de Tikkie wat geld sturen naar deze vriendin zodat ik in een hotelkamer alles kan regelen etc etc"

Misschien zelfs dezelfde profielfoto gekaapt, want die stond openbaar op WhatsApp. Wellicht meteen ook de Mail, Facebook, iCloud, gekaapt met recovery/sms verificatie en het telefoonnummer. Nu kan het slachtoffer haar ouders/vrienden niet bereiken.

Welke vader gaat nou niet 300-400 euro aftikken voor een dochter in nood? En als de dochter via mail en facebook het nogmaals bevestigd, welke ouder neemt dan niet zo'n risico just in case.

Tegenwoordig is je telefoonnummer aan zoveel dingen gekoppeld, dat een dergelijke "bug" bij Lebara een hele shitload aan gevaren meebrengt.

[Reactie gewijzigd door Jaïr.exe op 14 januari 2021 21:57]

Zoiets check je dan even door iemand te bellen (spraak) Klakkeloos geld overmaken is van de domme.
Dat is leuk als je de stem van iemand herkent...

Maar nu belt dat nummer jou 5 minuten nadat je het sms'je hebt gekregen en is het iemand die zegt dat je dochter net flauw is gevallen / out is gegaan / een injectie heeft gekregen / niet aan de telefoon kan komen. Maar dat hij/zij een goede vriend is genaamd... (naam van Facebook gehaald) en je dat toch echt moet doen anders loopt het niet goed af.

Of dat nummer belt jou en het is een bedrijfsnr zonder herkenbare stem (bankfraude etc)

Dan moet je toch wel heel heel erg sterk in je schoenen staan wil je dan nog zeggen : Ik verbreek de verbinding even en bel je daarna terug...
En met fouten zoals in dit artikel krijg je daarna alsnog diezelfde persoon aan de lijn als dat je net had (want hier wordt dus het complete nummer gespoofed inclusief inkomende tels als ik het goed begrijp)
Ik ben klant bij Lebara. Na 2 jaar heeft men ook eindelijk de problemen met hun voicemail dienst opgelost. Elke keer als je je voicemail wilde afluisteren, moest je de setup wizard doorlopen (welkomsboodschap instellen etc). Het verbaasd me dus niets dat er nog meer rammelt als zoeits basaals als een voicemail al 2 jaar stuk was.
Hier de voicemail direct uitgezet. Geen toegevoegde waarde + eigenlijk alleen maar storend. De mensen die me belangrijk vinden sturen wel een appje, de mensen die doen alsof ze me belangrijk vinden mogen opbokken (energiemaatschappijen enzo).
Vandaar dat mn secundaire nummer zoveel smsjes kreeg met: wie ben jij? :')
Het lek wordt niet eens op hun site gemeld. Slechte zaak.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True