Orange komt na datalek met extra controle tegen sim-swapping
Klanten werden eind augustus ingelicht over de IT-aanval bij Orange. Bij dit datalek hebben hackers gegevens buitgemaakt zoals naam, voornaam, telefoonnummer, simkaartnummer, PUK-code en Orange-tariefplannen. Voldoende om nummers over te zetten naar een andere provider, een praktijk die sim-swapping wordt genoemd, benadrukte ethisch hacker Inti De Ceukelaire vlak na het lek. Orange komt daarom met extra controles.
Details over deze extra controles zijn inmiddels gedeeld door telecomtoezichthouder BIPT. Die meldt dat Orange Belgium klanten voortaan via sms op de hoogte stelt zodra er een sim-swap is aangevraagd. Heeft de klant de aanvraag niet zelf ingediend, dan kan die worden tegengehouden door uiterlijk acht uur na ontvangst van het sms-bericht ‘STOP’ terug te sturen.
Nadien wordt het telefoonnummer alsnog overgezet naar een andere simkaart. Sim-swapping blijft dus mogelijk, al kan dit in noodgevallen wel worden tegengehouden. Wie zijn telefoon tijdelijk uitgeschakeld heeft, kan hierdoor in de problemen komen: de termijn van acht uur gaat lopen zodra Orange het sms-bericht verstuurt. Het BIPT zegt de maatregel en de effectiviteit ervan de komende tijd te blijven evalueren.
Misbruik van telefoonnummers
De gevolgen van sim-swapping worden vaak onderschat. Het gaat verder dan men doorgaans denkt: oplichters krijgen via het telefoonnummer toegang tot diverse accounts die aan dat nummer zijn gekoppeld. Veel mensen laten namelijk sms-verificatiecodes naar hun telefoon sturen. Nadat het nummer is ‘gestolen’, ontvangt niet de gebruiker maar de oplichter de codes en kan die mogelijk inbreken bij e-mail, sociale media en andere accounts.
In dat opzicht is het verstandig om van sms-verificatie over te stappen naar 2FA-apps. Die genereren lokaal zogeheten one-time passwords (OTP), die net als sms-codes dienen om accounts te beschermen tegen datalekken. In tegenstelling tot sms-codes zijn deze voor hackers veel moeilijker of helemaal niet te onderscheppen.
Klacht bij Gegevensbeschermingsautoriteit
Hoewel Orange maatregelen neemt om sim-swapping tegen te gaan, kreeg de manier waarop het bedrijf het lek en de communicatie naar klanten aanpakte kritiek van De Ceukelaire. De ethisch hacker beschuldigt Orange ervan de gevaren van de gelekte gegevens te bagatelliseren door te stellen dat het risico relatief beperkt blijft.
Ook zou de provider de verantwoordelijkheid voor mogelijke gevolgschade bij de klanten hebben gelegd. Zij moesten zelf maar opletten, luidde de boodschap. De Ceukelaire heeft daarop een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit (GBA).
