Update 4 september 2019: T-Mobile laat aan NU.nl weten dat ze het activeren van de eSIM beter gaan beveiligen. Hierdoor is het voor een hacker niet meer mogelijk om je mobiele nummer over te nemen als hij of zij toegang heeft tot jouw T-mobile-account. Vanaf donderdag moet er een cijfercode ingevoerd worden om het activeren te laten slagen. Deze cijfercode wordt verzonden naar de oude fysieke simkaart. Belangrijk is dus dat je de fysieke simkaart in je toestel laat zitten, totdat de eSIM volledig geactiveerd is.
Oorspronkelijk artikel:
Sinds kort kun je bij T-Mobile de eSIM activeren. Je hoeft daardoor geen fysieke simkaart meer te verwisselen, waardoor hackers je fysieke simkaart niet zo makkelijk kunnen stelen via de sim-swapping methode. Toch is er nu al een andere soortgelijke manier ontdekt om iemands mobiele nummer over te nemen als diegene gebruikmaakt van de eSIM. RTL Nieuws meldt dat een hacker alleen maar jouw wachtwoord en e-mailadres van T-Mobile nodig heeft.
Sim-swapping bij eSIM gemakkelijker
Het aanvragen van een eSIM kan in het geval van T-Mobile door in te loggen in de klantomgeving. Er wordt bij het inloggen geen gebruikgemaakt van extra verificatiemethodes, waardoor alleen een e-mailadres en wachtwoord voldoende is. Als iemand bekend is met jouw inloggegevens of deze via een andere manier weet te achterhalen, kan hij of zij daarom eenvoudig jouw account hacken en zo je mobiele nummer claimen. Het enige wat diegene verder nodig heeft, is een geschikt eSIM-toestel.
Vervolgens is het mogelijk om in te breken op andere accounts, zeker als deze niet goed beveiligd zijn. Je kan voor WhatsApp tweestapsverificatie instellen, maar als dat niet het geval is kun je dankzij deze eSIM-truc het WhatsApp-account overnemen. Daarnaast maken veel diensten gebruik van je 06-nummer om je account extra te beveiligen. Je krijgt dan bijvoorbeeld een eenmalige code per sms opgestuurd, zodat je dus onrechtmatig toegang krijgt tot iemands account.
T-Mobile heeft tegenover RTL Nieuws al gereageerd. Ze onderzoeken of het verificatieproces voor het activeren van de eSIM verbeterd kan worden. Beveiligingsexpert Dave Maasland waarschuwt dat de komst van de eSIM het probleem van sim-swapping nog groter kan maken. Hij suggereert dat T-Mobile bijvoorbeeld beter de QR-code kan mailen, in plaats van dat deze direct zichtbaar is op de website.
Tip: gebruik een wachtwoordenapp
Wil je er zeker van zijn dat je goed beveiligd bent, dan is het aan te raden om gebruik te maken van een wachtwoordenapp voor je iPhone. Dergelijke apps genereren automatisch een sterk wachtwoord die voor jou in een goed afgesloten kluis opgeslagen worden. De kans is daarmee een stuk kleiner dat jouw wachtwoord gestolen wordt. Daarnaast zijn er apps met tweestapsverificatie, die naast een sterk wachtwoord ook de eenmalige verificatiecode aanleveren.
- 2019 - 04 september: Artikel bijgewerkt na maatregel van T-Mobile.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Ook interessant
Odido komt met SimWallet: eSIM met data op al je apparaten (ook als je geen klant bent)
Dit zijn de voordelen en nadelen van een eSIM
Zo kun je de eSIM overzetten naar je nieuwe iPhone
Zo handig is de eSIM op vakantie
Telenet kondigt eSIM voor smartphones aan: volgende week van start
Er komt een einde aan de Apple SIM
Ik hou het nog wel even bij de gewone simkaart voorlopig.
En laat dit nou niet het enige probleem te zijn met eSIM.
KPN heeft in 2017 ook al de nodige bevindingen gedaan van de eSIM en dit aangegeven bij de GSMA, maar daar is tot op heden niks mee gedaan. De standaard dateert nog steeds uit 2017 [1] [2] [3] [4]
Met andere woorden, eSIM voorlopig niet gebruiken tot de standaard goed doorgrond is en veiliger is gemaakt.
Maar volgens mij maakt dát dus niet uit.
Met je loginnaam/mobiele nummer inclusief je wachtwoord kun je inloggen bij de provider en kan daar kennelijk direct een eSim aangevraagd worden en geactiveerd.
Dit geeft weer aan dat veel websites met belangrijke data, zeker als het wijzigen van data betref veel beter beveiligd moeten worden. Te beginnen zou er two-factor authentication moeten zijn voor zulke handelingen.
Woon zelf in Spanje, en eenmaal via de Qr Code ( Orange ) je Esim geactiveerd vervalt deze code direct. Heb je ander toestel? Moet je naar de winkel voor heractivatie.
T-mobile zou gewoon verplicht 2FA op hun website moeten hebben als je toegang wilt tot je account.
Lijkt mij toch makkelijk genoeg om de e-sim te koppelen met het imei nummer van je telefoon.
Het gaat er niet om dat eSim onveilig is. De toegang tot je Tmobile omgeving (en van vele andere providers) heeft geen 2FA. Dat is onveilig. De journalist heeft hier gewoon een leuk haakje gevonden, zoals ze dat in de PR noemen, omdat eSim nu actueel is.
Ik heb gewoon een fysieke plastic card met daarop een QR code van Vodafone Spanje. Als er ingebroken wordt en mijn pasjes worden gestolen kunnen ze ook mijn eSim overnemen. Precies hetzelfde. Ergo: zorg voor een veilig wachtwoord (en een goed deurslot).
Inderdaad wel slecht dat My T-Mobile geen 2 factor authentication heeft, het is nou niet dat ze te maken hebben met een groep klanten die geen mobieltje heeft en dus geen sms kan ontvangen 😉
@Rutger: Zo eenvoudig is het ook weer niet. Mocht je telefoon gestolen zijn of je sim is stuk, dan kun je ook geen smsje meer ontvangen voor je 2fa.
In België is het heel gewoon dat als je iemands mobiel nummer zelf wil, bied het aan aan een andere operator dat je het nummer naar hen wil transfereren. De oorspronkelijke eigenaar moet niet eens ervoor betalen.
De gsm nummers van mijn kinderen stonden tot vorig jaar op mijn naam (omdat minderjarigen bij ons geen gsm nummer kunnen bezitten) en zoals de wet voorschreef met bewijs via mijn identiteitskaart.
Plots krijg ik zowel van Base als van Scarlet de afrekening voorgeschoteld. Zonder mijn medeweten had mijn ex partner die nummer laten overzetten naar Telenet.
Wil ik die nummers terug dan moet ik ze maar terug laten transfereren was het antwoord van de klantendienst van Telenet. Oorspronkelijke eigenaars worden nooit gecontacteerd bij transfer van nummers. Ze gaan er hier blindelings van uit dat het alleen de eigenaar is die dat doet.
Dus is geen enkel nummer veilig.
Ik gebruik een EE e-sim (Engeland) en dat werkt met sms en code verificatie voordat je vanuit je MyEE omgeving iets kunt doen. Dat lijkt mij voor T-Mobile NL niet te ingewikkeld.
Ik was verbaasd hoe makkelijk je een e-sim activeert en hoe je de instellingen aanpast.
(Red.) Artikel bijgewerkt na maatregel van T-Mobile.
Nu had ik afgelopen maandag een sim kaart fout melding(tmobile). Een nieuw besteld, vandaag gekomen. Er zijn 2 mogelijkheden om je sim te activeren: door een sms naar je oude sim te sturen of via een link(uit de email van tmobile) en hier je nieuwe sim kaart nummer invoeren om je simmetje te activeren. De laatste heb ik gekozen, omdat mijn oude sim een fout aangaf. Hoe kun je dan als je een esim wil, een code op je oude sim kaart ontvangen wanneer deze een fout aangeeft?
Ik gebruik e-sim al sinds 2016. Alsof het nieuwe technologie is, schei eens uit met die overtrokken reacties. Werkt perfect!
Dus omdat het bij jou perfect werkt en jouw nummer nog niet is overgenomen is het goed. Gebeurd het bij een andere maakt het niet uit?
Ik vind het ook wat overdreven over de duel Sim , in ander artikel stond ook dat je in het buitenland kunt komen waar het al volop gebruikt wordt.
Nou het werd hier ook al volop gebruikt, alleen niet bij Apple en dan gewoon twee fysieke Sims .