T-Mobile introduceert deze maand e-sim in Nederland, een virtueel alternatief voor fysieke simkaarten. Daarmee maakt de provider het echter niet alleen makkelijker voor consumenten, maar ook voor kwaadwillenden die je nummer willen overnemen.
Lees verder na de advertentie.
T-Mobile e-sim onveilig: zo neemt iemand je nummer over
Wil je een telefoonnummer gekoppeld aan een e-sim activeren op een nieuwe smartphone, dan is daarvoor alleen het wachtwoord van je provider nodig. Dat blijkt uit onderzoek van RTL Nieuws. Hackers die je T-Mobile-wachtwoord kraken hebben hiermee dus relatief gemakkelijk toegang tot WhatsApp, mail en andere diensten die je telefoonnummer vereisen.
E-sim is sinds vorige week beschikbaar in Nederland, en werkt vooralsnog alleen op de nieuwste iPhones van Apple. T-Mobile is vooralsnog de enige provider die e-sim aanbiedt.
Om een traditionele simkaart te gebruiken, moet je eerst de fysieke kaart in je toestel stoppen en vervolgens je pincode invoeren. Voor een e-simkaart bij T-Mobile zijn echter alleen de inloggegevens van de account van je provider vereist. Vervolgens koppel je die account met een qr-code aan je smartphone om het telefoonnummer te gebruiken. T-Mobile houdt niet bij wie er inlogt, en of het gekoppelde toestel wel echt van jou.
Inbraak op WhatsApp, bank of andere apps makkelijker
Gebruik je hetzelfde wachtwoord bij je provider als bij sommige andere diensten, of weet iemand je wachtwoord via bijvoorbeeld een phishingtruc te achterhalen, dan heb je flinke problemen. Zo kan iedereen op je WhatsApp-account inloggen, zolang ze maar inloggen via een smartphone met ‘jouw’ telefoonnummer.
Ook bij Gmail, Paypal en vele andere diensten waarvoor je mogelijk tweefactorauthenticatie gebruikt kan een wildvreemde je account opeens een stuk makkelijker gebruiken. Bij veel apps kun je bovendien je telefoonnummer koppelen om een nieuw, tijdelijk wachtwoord toegestuurd te krijgen als je het kwijt bent. Ook daarmee loop je met e-sim extra gevaar.
T-Mobile laat in een reactie weten dat het het verificatieproces voor e-sim op dit moment onderzoekt. “[We hebben] veiligheid hoog in het vaandel. Tegelijkertijd vinden we het belangrijk dat we de gebruikersvriendelijkheid van onze diensten ook continu op hoog niveau houden,” zo laat een woordvoerder van T-Mobile weten aan RTL Nieuws “We zijn bezig om te bepalen of en hoe we het verificatieproces kunnen aanscherpen.” Het is onbekend hoeveel gebruikers e-sim al geactiveerd hebben in Nederland.
Wat kan ik doen om mijn accounts te beschermen?
Heb je een abonnement bij T-Mobile, en maak je je zorgen om je gegevens? Dan kun je voor nu beter geen e-sim nemen. Zelfs als je zelf geen iPhone heeft, kan iemand anders met een iPhone-toestel en je T-Mobile-gegevens je nummer overnemen. Ook is nu nog verstandiger om een sterk, uniek wachtwoord voor je T-Mobile-account in te stellen en dat regelmatig aan te passen. Gebruik een wachtwoordmanager om meer grip te krijgen op je wachtwoorden.
Tweestapsverificatie uitschakelen bij diensten waar je het al gebruikt is onverstandig. Wel is het slim om deze niet langer aan je telefoonnummer te koppelen, maar aan een authenticator-app. Denk bijvoorbeeld aan Authy of Google Authenticator. Die apps genereren ook continu wisselende tweefactorauthenticatiecodes, wat het een stuk lastiger maakt voor vreemden om je account te kapen.
Zit je bij KPN, Vodafone of een andere provider, dan hoef je je voorlopig geen zorgen te maken. Deze providers bieden nog geen e-sim. Het is onduidelijk of en wanneer zij de nieuwe technologie in Nederland gaan aanbieden.
