Hackers verkopen gevoelige data van Orange-klanten

Een hackergroep heeft ontvreemde klantgegevens van telecomoperator Orange te koop staan via berichtendienst Telegram. Volgens een daar gedeelde data sample staan er onder meer volledige namen en adressen te koop, gekoppeld aan gsm-nummers, SIM-kaartgegevens, de duurtijd van ieder gesprek en de locatie waar het zich heeft voltrokken. Voorlopig wijst alles erop dat het gaat om data die in november vorig jaar werden ontvreemd na een hacking van politiezone Zwijndrecht, en die ook de andere operatoren raakt.

Op het Telegramkanaal van hackergroep Ragnar_Locker werd gisteren een data sample van gehackte Belgische persoonsgegevens van Orange-klanten gelost, die de bende zegt te hebben ontvreemd. Afgaand op die data uit zesduizend telefoongesprekken en dataconnecties over het mobiele netwerk van Orange, die Data News kon inkijken, gaat het om de volledige adresinformatie van klanten, hun mobiele telefoonnummer, het International Mobile Equipment Identity (IMEI)-nummer van hun toestel, het IMSI (International Mobile Subscriber Identity)-nummer van de SIM-kaart, en locatiegegevens van waar de oproep is gebeurd. Steekproeven van onze redactie bevestigen dat het om correcte gegevens gaat.

Eerdere hack

Ragnar_Locker is een ransomwaregroep met een eigen malware, die na het binnendringen van Windows- en Linux-systemen via een gecompromitteerde computer informatie uit het systeem onttrekt. De gegevens die nu circuleren werden volgens onze bronnen ontvreemd in een eerdere hacking bij de politiezone Zwijndrecht, in september van vorig jaar. In november laatstleden bleek daarbij al dat deze specifieke hackergroep in het bezit was van gevoelige informatie uit politiedossiers. Nu blijkt ze dus ook over een groot volume – Ragnar_Locker claimt dat het om 46 gigabyte aan gegevens gaat – aan telecomgegevens te beschikken, die de politiezone van de operatoren kreeg doorgespeeld in het kader van gerechtelijke onderzoeken. Dat verklaart ook de zeer specifieke aard van de data, waarvan sommige – zoals call logs en locatiegegevens – alleen via gerechtelijk bevel mogen worden vrijgegeven.

Operatoren gealarmeerd

Niet alleen het nu in het vizier genomen Orange, dat niet officieel wenste te reageren, maar ook de andere telecomoperatoren in ons land hebben weet van het feit dat dit soort gegevens van sommige van hun klanten in omloop zijn. Ze zeggen dat hun systemen zelf nooit gehackt zijn: de gegevens in kwestie vloeien voort uit die eerdere inbraak in het administratieve netwerk van de politiezone. Technologiefederatie Agoria onderstreept dit in een reactie. ‘De gegevens waarvan sprake werden door de operatoren aan de officiële autoriteiten overgemaakt in het kader van gerechtelijke onderzoeken’, zegt Brecht Van Herzeele, Business Group Leader Telecom bij Agoria. ‘Deze handeling is volledig in lijn met de regelgeving. De operatoren hebben daarbij de correcte procedures gevolgd en de gegevens veilig overgemaakt. Er is geen enkele aanwijzing dat er gegevens gelekt zijn bij de operatoren zelf. De telecomoperatoren betreuren dan ook ten zeerste dat deze gegevens naar buiten gebracht zijn, en hopen dat de nodige stappen zullen ondernomen worden. De operatoren onderzoeken zelf of ze juridische stappen kunnen nemen.’

Verstrekkende gevolgen

De combinatie van alle in omloop zijnde parameters maakt dat het datalek verstrekkende gevolgen kan hebben als de grotere dataset op het Dark Web, op andere zwarte markten of op publieke fora belandt, zegt ethical hacker Inti De Ceukelaire op basis van de data sample die Data News hem mee liet inkijken. ‘Er zitten heel veel puzzelstukken in waarmee een puzzel kan worden vervolledigd’, oppert De Ceukelaire. ‘Per definitie lijkt dit natuurlijk een enorme privacyschending, want er zitten adres- en telefoongegevens in, maar het gaat veel verder dan dat. De duurtijd van de telefoongesprekken, en de locatiegegevens: dat zijn data die politiediensten bijvoorbeeld gebruiken in hun onderzoek. Als die gegevens in het wild zouden belanden, dan zouden privépersonen ze bijvoorbeeld ook kunnen gebruiken om te achterhalen of hun partner vreemdgaat. Of bedrijven om te zien of iemand in contact heeft gestaan met de concurrentie. De IMSI-gegevens kunnen worden gebruikt om gebruikers te tracken.’

De IMEI-data verklappen ook in welk toestel elke simkaart terug te vinden is: dat is publieke informatie die je met eenvoudige zoekopdrachten kan terugvinden op internet. In de gelekte datasample zien we bijvoorbeeld zo ook welke transportfirma een bepaald type geconnecteerde boardcomputer gebruikt. Maar het gaat nog verder. ‘De IMEI-data kunnen in sommige gevallen ook worden gebruikt om in naam van het slachtoffer ongeautoriseerde verzoeken te doen, zoals diens telefoon als gestolen opgeven’, voegt De Ceukelaire daar nog aan toe.