De cyberaanval bij Orange Belgium heeft geleid tot de ongeoorloofde toegang tot de gegevens van zo’n 850.000 klanten. Hieronder namen, telefoonnummers, sim-kaartnummers, puk-codes en tariefplannen. Intussen navigeert Orange Belgium in zijn communicatie tussen transparantie en reputatiebeheer.
Het bedrijf stelt in een online mededeling dat het eind juli de aanval ontdekte, onmiddellijk zijn noodplan activeerde en de bevoegde autoriteiten verwittigde. Ook de betrokken klanten werden via sms of e-mail geïnformeerd.
Schade beperkt, maar risico’s reëel
Gevoelige data zoals adressen, e-mailadressen, wachtwoorden of financiële informatie zouden niet geraakt zijn. Hoewel dergelijke data dus niet in de buitgemaakte dataset zouden zitten, zijn de gelekte sim- en puk-codes niet zonder waarde. Ze kunnen, in combinatie met andere persoonsgegevens, gebruikt worden voor eventuele sim-swaps of social engineering-aanvallen.
Daarmee lopen slachtoffers het risico dat criminelen toegang krijgen tot hun sms-verkeer of accounts die met sms-verificatie beveiligd zijn. Orange Belgium zelf benadrukt dat klanten waakzaam moeten blijven voor phishing, maar dat er geen reden is tot paniek.
Volgens het telecombedrijf werd de toegang tot het getroffen systeem meteen geblokkeerd en zijn de beveiligingsmaatregelen aangescherpt. Het bedrijf stelt dat de hack geïsoleerd werd en dat de getroffen systemen intussen extra beveiligd zijn.
Bekende patronen in communicatie
Opvallend is dat Orange Belgium meermaals haar publieke boodschap bijstelde. Waar in eerste instantie werd gesteld dat er ‘geen aanwijzingen waren dat de data verspreid was’, verdween die boodschap later van de website, om nadien opnieuw toegevoegd te worden.
Ethisch hacker Inti De Ceukelaire is, mede hierdoor, kritisch over die communicatiewijze. Volgens hem is de (klassieke) ‘geen bewijs’-formulering bovendien een vaak gebruikte communicatiestrategie bij data-inbreuken. ‘Bedrijven benadrukken graag dat er op het moment van de bekendmaking geen indicatie is dat er data verspreid zijn. Maar grondig onderzoek naar de daadwerkelijke impact kost tijd en ligt vaak niet in het belang van het bedrijf zelf’, zegt hij in een reactie.
Volgens De Ceukelaire is het ook misleidend om de nadruk te leggen op wat níét gebeurd of gelekt is. ‘Dat soort framing geeft klanten een vals gevoel van geruststelling, terwijl het risico op misbruik van de gelekte gegevens wel degelijk reëel is.’
Cybersec Netherlands
De recente ontwikkeling op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
Orange Belgium heeft deze keer blijkbaar snel ingegrepen en klanten op de hoogte gebracht. Maar ze communiceren heel erg amateuristisch en de nazorg is slecht.
Als ook sim- en pukcodes gelekt zijn, moet je niet de schijn wekken dat het allemaal wel mee valt, omdat klanten zeer ernstig gedupeerd kunnen worden. De hack kan gebruikt worden voor direct financieel gewin, maar ook voor nieuwe hacks bij andere bedrijven.
Orange Belgium moet daarom snel nieuwe simkaartnummers en bijbehorende pukcodes aan gedupeerde klanten verstrekken. Nieuwe klanten moeten maar even wachten.