Telecomoperator Orange Belgium ontdekte eind juli een cyberaanval op een van zijn IT-systemen, waarbij 850.000 klantenaccounts zijn gelekt.
Eind juli werd Orange Belgium het slachtoffer van een cyberaanval. Hierbij werden data van zo’n 850.000 klantenaccounts gestolen. Het betreft gegevens zoals de naam, voornaam, telefoonnummer, simkaartnummer, PUK-code en het tariefplan van klanten.
Volgens Orange gaat het niet om kritieke gegevens, maar daar hebben cyberexperten hun twijfels over. Het bedrijf bracht zijn klanten via mail of bericht op de hoogte van de cyberaanval, maar ook hier worden er vraagtekens gesteld bij de transparantie van het bedrijf. Hoe is deze aanval op één van de grootste telecomproviders kunnen gebeuren?
lees ook
Minimaliseert Orange de cyberaanval die 850.000 klantenaccounts blootlegde?
Wel of geen kritieke gegevens?
De cyberaanval die eind juli plaatsvond bij Orange Belgium gaf hackers ongeoorloofde toegang tot data van 850.000 accounts. Van zodra het team van Orange de inbreuk opmerkte, werd de toegang meteen geblokkeerd. Het bedrijf stelt dat het niet gaat om kritieke informatie zoals mailadressen, bankgegevens of wachtwoorden. De hackers konden wel de naam, voornaam, telefoonnummer, simkaartnummer, PUK-code en het tariefplan van klanten inzien.
Volgens ethisch hacker Inti De Ceukelaire gaat het hier weldegelijk om “kritieke gegevens”. Hij vindt dat Orange onvoldoende gedaan heeft om de getroffen klanten te beschermen. “Voor sommige mensen is die gestolen informatie van cruciaal belang om hun veiligheid te garanderen”, aldus De Ceukelaire aan vrtnws.
Simswapping
Orange beslist in zijn communicatie eenzijdig dat de gelekte gegevens niet kritiek zijn, maar De Ceukelaire is het daar niet mee eens. “Wie je PUK-code heeft, kan ook je PIN-code resetten.” De Ceukelaire spreekt over het fenomeen van simswapping, waarbij een hacker met jouw telefoonnummer naar een andere provider gaat.
Cybersecurityspecialist Eddy Willems beaamt dat het niet goed is dat deze gegevens gelekt zijn, maar nuanceert het gevaar van simswapping in België. “Er zijn meer gegevens nodig om vandaag van simkaart te veranderen in ons land zoals bijvoorbeeld jouw geboortedatum of rijksregisternummer, en dat is informatie die niet gelekt is.”
Die informatie mag dan wel gespaard gebleven zijn van deze cyberaanval, hackers kunnen ze nog altijd bemachtigen. “Kwaadwilligen die andere databases viseren of social engineering-vaardigheden hebben, kunnen alsnog aan deze extra informatie geraken”, waarschuwt hij.
Geminimaliseerd
Als één van de grootste telecombedrijven in België draagt Orange een grote verantwoordelijkheid. Transparantie en een heldere communicatie naar klanten toe zijn hierbij onontbeerlijk. De Ceuckelaire stelt dat het gevaar volgens hem groter is dan de communicatie doet vermoeden. Ook Willems sluit zich hierbij aan: “Ze hebben de aanval in het bericht aan klanten geminimaliseerd”.
Onvermijdelijk?
“Het is niet uniek dat dergelijke datalekken plaatsvinden. Helaas is het inherent aan vandaag de dag”, zegt Willems. Orange heeft met Orange Cyberdefense wel een toegewijde bedrijfstak gespecialiseerd in cyberveiligheid.
“Er kan altijd een veiligheidsprobleem in een systeem sluipen, maar bij een bedrijf als Orange verwacht je dat ze hiertegen gewapend zijn”, stelt hij. “Niemand weet wat er precies aan de basis lag van het beveiligingsprobleem, behalve Orange zelf. De basis van een goede cybersecurity is testen, testen en nog eens testen door ethische hackers en senior consultants. Het zit vaak in de kleinste details. Daar is het vermoedelijk fout gelopen bij Orange.”
Bovendien beschikt een provider over heel wat persoonlijke gegevens, waardoor die een extra aantrekkelijk doelwit wordt. “Het lijkt er wel op dat Orange zijn gegevens op verschillende plaatsen bewaart, aangezien de meest kritieke gegevens niet gelekt zijn”, zegt Willems opgelucht.
Toch had het datalek vermeden kunnen worden. Hij vergelijkt het met de beveiliging van Itsme. “Daar worden enorm gevoelige gegevens bewaard die niet zomaar te kraken zijn. Dat is waanzinnig goed beveiligd, waarom slaagt de derde grootste telecomprovider van België hier niet in?”
Testen, testen, testen
Testen, testen en vooral blijven testen, iets wat Willems blijft benadrukken en nog te weinig ziet gebeuren bij bedrijven. “Cybersecurity kost nu eenmaal geld, maar het is belangrijk om te blijven investeren in mensen en technologieën die de cyberweerbaarheid van jouw bedrijf kunnen versterken”, besluit Willems.