Uit onderzoek van Webwereld blijkt dat het voicemailsysteem van Vodafone een tweede, nog gênanter lek bevat. Met verschillende VoIP-tools zijn op eenvoudige wijze 06-nummers na te bootsen. Dit zogeheten Caller ID spoofing is een klassieke telecomtruc om systemen (en gebelde personen) om de tuin te leiden.

Álle klanten

Desondanks was het mogelijk om via deze vorm van spoofing direct in de voicemailbox van elke willekeurige Vodafone-abonnee te komen, ook die van ministers. En zelfs die van Vodafone-gebruikers die er wel aan gedacht hebben om de standaardtoegangscode (3333) te wijzigen.

Voor misbruik van het nu ontdekte tweede lek is zelfs geen inlogcode nodig. Het voicemailsysteem denkt namelijk dat er vanaf het ‘eigen’ nummer wordt gebeld, alleen dan via het netwerk van een andere telecomaanbieder. Webwereld heeft het spoofinglek donderdag bij twee Vodafone-nummers geverifieerd.

Nummers van door Webwereld benaderde gebruikers bij KPN en T-Mobile bleken niet vatbaar voor deze truc. Die operators vragen gebruikers om een wachtwoord in te voeren. Dat wachtwoord wordt naar het mobiele nummer van de gebruiker gestuurd. De spoofing-truc zorgt niet voor onderschepping van dat bericht.

Nog steeds niet gedicht

Vodafone heeft inderhaast ook dit gat gedicht, stelt het bedrijf. “Vodafone voert op dit moment technische maatregelen door om dit te voorkomen. Deze maatregelen zijn het gevolg van een nadere analyse van de voicemailbeveiliging tegen cybercriminaliteit. Vodafone sluit niet uit dat er nog meer aanscherpingen zullen volgen”, meldt het concern in een persverklaring.

De operator wil niet spreken van een lek, maar van een “aanscherping van de voicemailbeveiliging in strijd tegen cybercrime”.

Bij een laatste test door Webwereld blijkt inderdaad dat ook Vodafone nu om een wachtwoord vraagt bij het inbellen naar de voicemail vanaf een ander netwerk. Maar Ronald Prins, directeur van securitybedrijf Fox-IT, bevestigt om 20.35 dat de spoofmethode nog steeds werkt.

Een woordvoerder van Vodafone zegt dat er inderdaad nog steeds wordt gewerkt aan een oplossing. Uiterlijk vannacht moet het spoofinglek zijn gedicht, belooft het telecomconcern.

3333

Woensdag werd duidelijk dat de voicemail van Vodafone-abonnees was af te luisteren omdat de firma een standaard inlogcode hanteert: 3333. Tv-programma EenVandaag kon zo eenvoudig de voicemails van bijvoorbeeld minister Uri Rosenthal afluisteren. Vodafone heeft vorig jaar namelijk het contract binnengehaald voor de mobiele telefonie van nagenoeg de hele Rijksoverheid. De Tweede Kamer eist een spoeddebat over de kwestie.

Update: Het door Vodafone geclaimde dichten van dit voicemail-lek blijkt niet gelukt. De spoofingtruc werkt nog steeds.

Update 2: Vrijdagochtend meldt Vodafone dat andermans voicemail afluisteren via Caller ID spoofing nu echt niet meer kan. Donderdagavond berichtte ook Nieuwsuur uitgebreid over het spoofinglek. Hieronder dat item.