Mensen zijn tegenwoordig steeds nauwer verbonden met hun mobiele apparaten. Deze apparaten zijn op hun beurt meestal gekoppeld aan mobiele nummers (bijvoorbeeld de 06-nummers in Nederland) voor telefonie (het voeren van ‘ouderwetse’ telefoongesprekken en het uitwisselen van sms-berichten). Hiernaast zijn veel van de populairste mobiele apps (deels) afhankelijk van mobiele nummers om individuele gebruikers te identificeren en om berichten aan deze gebruikers door te sturen. Dit betekent dat mensen meer dan ooit gekoppeld zijn aan hun mobiele nummers, en dat deze nummers dus in de praktijk als uniek identificatiemiddel van deze personen worden beschouwd.
auteur: Mortaza S. Bargh
Mobiele nummers spelen ook een belangrijke rol als legitimatiemiddel voor individuele gebruikers.[1] Online diensten die bijvoorbeeld worden gebruikt voor internetbankieren, sociaal netwerken en mailen, maken soms gebruik van sms-berichten (en zijn dus afhankelijk van mobiele nummers) om One Time Passwords (OTP’s) naar gebruikers te sturen wanneer deze willen inloggen op hun account of hun wachtwoord opnieuw willen instellen. Met andere woorden, mobiele nummers worden steeds vaker gebruikt om mensen te identificeren en te legitimeren.
Mobiele nummers kunnen deze dubbele rol als legitimatie- en identificatiemiddel van individuele gebruikers alleen goed blijven vervullen zolang de koppelingen tussen individuen en hun apparaten, of die tussen apparaten en mobiele nummers, niet worden verbroken. Het eerste scenario kan voorkomen wanneer bijvoorbeeld mensen hun apparaat verliezen; het tweede scenario komt voor wanneer bijvoorbeeld een abonnement voor mobiele telefonie is beëindigd. Deze verbroken koppelingen zouden privacy- en beveiligingsproblemen kunnen veroorzaken. In deze bijdrage wordt ingegaan op een aantal privacy- en beveiligingsrisico’s die kunnen ontstaan door het hergebruik van mobiele nummers.
Het aantal mogelijke mobiele nummers is niet oneindig.[2] Daarom worden mobiele nummers die om een of andere reden gedeactiveerd en teruggevorderd zijn, vaak door telecomaanbieders opnieuw aan nieuwe klanten aangeboden. Het beleid voor het hergebruik van deze gedeactiveerde nummers kan per land of zelfs per telecomaanbieder sterk verschillen.[3] De aanbieders plaatsen de teruggevorderde nummers normaal gesproken een tijdlang (bijvoorbeeld drie maanden) in staat van quarantaine (ook bekend als ‘afkoelingsperiode’).
Hoewel het hergebruik van mobiele nummers een oplossing biedt voor het chronisch tekort aan nummers, zou dit hergebruik zowel de nieuwe als de vorige eigenaars van deze nummers bloot aan beveiligings- en privacyrisico’s stellen. Hier volgt een (niet volledige) lijst van mogelijke risico’s.[4]
De nieuwe eigenaar van een hergebruikt mobiele nummer zou kunnen worden gebeld door mensen die de vorige eigenaar op hun contactenlijst hebben staan en niet weten dat dit nummer niet meer bij de vorige eigenaar hoort. Op het internet zijn verhalen te vinden over nieuwe eigenaren van mobiele nummers die regelmatig worden gebeld (of zelfs lastiggevallen) door deze contacten.[5] Dit is een duidelijke schending van de privacy van deze nieuwe eigenaren van hergebruikte mobiele nummers, omdat ongewenst inbreuk wordt gedaan op hun privéleven.
Tegenwoordig gebruiken ook messaging-apps (zoals WhatsApp en Telegram) mobiele nummers om hun gebruikers (gedeeltelijk) te identificeren en om berichten aan deze gebruikers door te sturen. Het is daarom verstandig om van tevoren uit te zoeken in hoeverre deze apps afhankelijk zijn van mobiele nummers voor het doorsturen van berichten. Als het doorsturen van berichten volledig afhankelijk is van mobiele nummers, dan is het hierboven genoemde probleem (dat de nieuwe eigenaren van mobiele nummers worden lastiggevallen door de contacten van de vorige eigenaren) ook van toepassing op deze apps. Een ander privacyrisico bij deze messaging-apps is dat de profielfoto van de nieuwe eigenaar kan worden gedeeld met (en kan dus zichtbaar zijn voor) de contacten van de vorige eigenaar.
De impact van de privacy- en beveiligingsrisico’s zijn groter voor de vorige eigenaars dan voor de nieuwe eigenaars. Zoals hierboven vermeld, worden mobiele nummers soms gebruikt door verschillende online diensten als legitimatiemiddel voor individuele gebruikers. Zo kunnen deze diensten bijvoorbeeld als tweede stap van een Two-factor Authentication (2FA) een OTP (een bevestigingsnummer) via een sms sturen naar gebruikers die toegang willen krijgen tot deze diensten, of die hun wachtwoord opnieuw willen instellen (als ze deze bijvoorbeeld zijn vergeten). Als de nieuwe eigenaar van een mobiele nummer een indringer is die de vorige eigenaar kent (of die informatie weet te vinden over de vorige eigenaar via bijvoorbeeld online zoekmachines of sociale media), dan kan deze indringer grote schade toebrengen aan de vorige eigenaar. De indringer kan bijvoorbeeld naar de website gaan van een online dienst waar het slachtoffer (de vorige eigenaar) gebruik van maakt, op de link klikken voor vergeten wachtwoorden, een paar vragen over het slachtoffer beantwoorden, de OTP via sms ontvangen voor het opnieuw instellen van het account van het slachtoffer voor deze online dienst, een nieuw wachtwoord invoeren voor het account en zodoende het account van het slachtoffer overnemen. Na zo’n overname hebben slachtoffers vaak helemaal geen toegang meer tot hun account. Afhankelijk van het type online dienst loopt het slachtoffer dan risico op financiële schade (in bijvoorbeeld bankapplicaties), inbreuken op hun privacy (op bijvoorbeeld sociale media) en belemmeringen bij het afnemen van belangrijke diensten (beperkte of geen toegang tot bijvoorbeeld mail- en messaging-apps).
Bij een messaging-app is het verstandig om van tevoren uit te zoeken of de contactenlijst van de vorige eigenaar wel of niet wordt doorgegeven aan de nieuwe eigenaar van het mobiele nummer. Als deze lijst wel wordt doorgegeven, kan de indringer (de nieuwe eigenaar) deze contactpersonen van het slachtoffer bellen en reputatieschade aan het slachtoffer toebrengen, of zelfs deze contacten oplichten door hen te vragen om hulp of gunsten namens het slachtoffer.
De hierboven genoemde privacy- en beveiligingsrisico’s kunnen het beste worden bestreden door een combinatie van verschillende methodes. De vorige eigenaars van hergebruikte mobiele nummers kunnen bijvoorbeeld ervoor waken om zowel hun persoonlijke contacten, als alle online diensten die mogelijk gebruik maken van het nummer als onderdeel van een 2FA-proces, op de hoogte brengen van het deactiveren van het nummer. Aanbieders van online diensten moeten op hun beurt regelmatig vragen aan hun klanten of deze mobiele nummers nog actief worden gebruikt en niet zijn gedeactiveerd. Het gebruik van sms-berichten voor OTP is hoe dan ook onveilig en moet daarom worden vervangen door andere methodes die niet volledig afhankelijk zijn van mobiele nummers.
De in deze bijdrage geuite standpunten en meningen komen niet noodzakelijk overeen met het officiële beleid of standpunt van de werkgevers van de auteur.
[1] Zie bijvoorbeeld https://www.wired.com/story/phone-numbers-indentification-authentication/, https://krebsonsecurity.com/2019/03/why-phone-numbers-stink-as-identity-proof/
[2] Zie https://www.acm.nl/nl/publicaties/acm-gaat-ongebruikte-06-nummers-terughalen. Momenteel is de Autoriteit Consumenten & Markt (ACM) verantwoordelijk voor het toekennen van mobiele nummers aan telecomaanbieders. Wanneer een aanbieder binnen een jaar geen klanten heeft gevonden voor een deel van de toegewezen nummers, vordert de ACM deze ongebruikte nummers terug.
[3] https://labs.detectify.com/2018/05/24/recycled-phone-numbers/
[4] De risico’s van het hergebruik van mobiele nummers zijn in zekere zin te vergelijken met de risico’s van zogenaamde SIM-swapping-fraude, waarbij een indringer opzettelijk iemands mobiele nummer overneemt en overbrengt naar een ander mobiele apparaat. Zie bijvoorbeeld https://securelist.com/large-scale-sim-swap-fraud/90353/, https://www.wired.com/story/sim-swap-attack-defend-phone/, https://www.rtlnieuws.nl/tech/artikel/4827171/esim-sim-swapping-06-nummer-overnemen-hacken
[5] Zie bijvoorbeeld https://www.abc.net.au/news/2017-09-30/political-staffer-phone-numbers-recycled-for-public-citizens/9002498, https://www.quora.com/Do-old-cell-phone-numbers-get-retired-or-reused
