Drie virtuele operatoren, Carrefour Mobile, Undo en Neibo, melden dat klantgegevens zijn uitgelekt. De oorzaak ligt bij Effortel, het platform dat de drie spelers gebruiken.
Eind april bevestigde Carrefour dat de gegevens van 64.000 Carrefour Mobile klanten waren gelekt. Ook Neibo, een andere virtuele netwerkoperator (MVNO), doet deze week een soortgelijke melding. De naam, geboortedatum, e-mailadres, telefoonnummer, fysiek adres, btw-nummer, taal, abonnementsnummer en technische identificatiegegevens zoals het simkaartnummer zijn daardoor in handen van onbevoegden geraakt. Bankgegevens, wachtwoorden en de account bij Neibo zijn niet getroffen door het datalek.
Ook Undo, een virtuele operator van Effortel zelf, meldde een tweetal weken geleden al een datalek waarbij dezelfde klantgegevens, inclusief technische identificatiegegevens zoals simkaartnummer (IMSI), uitgelekt waren.
Hacker in het supportportaal
Zowel Carrefour Mobile als Neibo gebruiken het platform van Effortel voor de technische afhandeling van hun telecomactiviteiten. Die laatste bevestigt aan Data News dat er een hack heeft plaatsgevonden via hun supportportaal.
Het datalek is beperkt tot drie bovengenoemde aanbieders: Carrefour Mobile, Neibo en Undo. Carrefour is met 64.000 klanten de grootste dataset. Voor de overige twee gaat het samengeteld om zo’n tienduizend klanten. Het gaat niet om het volledige klantenbestand van Carrefour Mobile.
Laurent Bataille, general manager bij Effortel en Undo, zegt dat het lek is ontstaan in een testfase van de implementatie van een centrale database die telecomregulator BIPT oplegt. ‘Daarin moeten we bepaalde klantgegevens doorgeven in het systeem, bijvoorbeeld voor de hulpdiensten,’ legt hij uit.
‘Voor die integratie hebben we testen uitgevoerd en zijn er bestanden met klantgegevens gegenereerd die helaas gelekt zijn. Via het supportportaal tussen de MVNO’s en Telfort wist een hacker in te dringen en zo toegang te krijgen tot die bestanden.’
Het datalek dateert van midden april en op dat moment werd ook de Gegevensbeschermingsautoriteit ingelicht. De klantgegevens zijn van enkele maanden geleden. Wie zeer recent klant werd zou normaliter niet getroffen zijn. Carrefour gebruikt het netwerk van Telenet, Undo en Neibo dat van Orange Belgium, maar het incident heeft niets te maken met het netwerk van Telenet en Orange.
Ook over de identiteitsgegevens is het niet helemaal zeker welke daarvan gelekt zijn. ‘60 tot 65 procent van de eindklanten bevestigt haar identiteit via een online betaling. Van hen zijn er dus geen identiteitsgegevens bewaard. Er is wel een payment ID, maar dat zijn cijfers die je enkel kan koppelen aan persoonsgegevens via de betalingsprovider,’ nuanceert Bataille.
Wat doet Effortel?
Effortel is een Belgische mobile virtual network enabler (MVNE). Zo’n speler biedt tools aan voor onder meer billing en klantenbeheer. Ze zijn de technische partij tussen het fysieke netwerk van bijvoorbeeld Proximus, Telenet/Base of Orange, en een virtuele netwerkoperator (MVNO) zoals Carrefour Mobile. Hun rol maakt het zo mogelijk dat een merk zonder al te veel eigen technische expertise of ontwikkelingen van start kan gaan als virtuele telecomoperator, op het netwerk van een telecomoperator.
Effortel levert naar eigen zeggen vandaag diensten aan meer dan dertig MVNO’s over acht mobiele netwerken in meerdere landen. Het is in 2006 begonnen als MVNO voor de internationale Carrefour groep en biedt sinds 2008 MVNE-diensten aan voor virtuele netwerkoperatoren. Sinds 2023 heeft het ook haar eigen MVNO, Undo Mobile.
In 2019 had het bedrijf volgens een persbericht in totaal bijna 5 miljoen klanten, al zitten die hoofdzakelijk buiten België en zijn voor alle duidelijkheid niet betrokken bij het incident.. Destijds meldde het bedrijf dat het diensten aan 11 MVNO’s leverde in onder meer België, Polen, Oman, Azerbeidzjan, Italië, Taiwan, Kenia en Rusland.
Update 13/5/2025, 13 uur:
Ook bij de MVNO van Effortel zelf, Undo, was er twee weken geleden een datalek. Het artikel is aangepast om dat te vermelden.
Update 14.30 uur
Het artikel is aangevuld met een reactie van Effortel.
Fout opgemerkt of meer nieuws? Meld het hier