Door de slechte beveiliging van My T-Mobile was het mogelijk om te zien naar welke nummers abonnees van T-Mobile bellen.
Daarnaast was het mogelijk om andermans adresgegevens te veranderen en uit naam van een andere T-Mobile-gebruiker sms’jes en mms’jes te versturen. Een wachtwoord bleek niet nodig.
Abonnees die gebruikmaken van de dienst My T-Mobile, krijgen bij het inloggen op de webdienst drie cookies op hun pc. In het eerste cookie staat de gebruikersnaam. Door deze naam aan te passen (bijvoorbeeld in ‘Wouter’ of ‘Femke’), was het mogelijk om de gegevens van een andere gebruiker te bekijken. Het wachtwoord van de betreffende gebruiker was niet nodig.
Beveiligingsexpert Martijn Brinkers, die het lek ontdekte, heeft geen goed woord over voor de door T-Mobile gebruikte ‘beveiliging’. “Stel: je hebt een kluisje bij een bank. Bij de ingang controleren ze of je een kluisje hebt, bijvoorbeeld met een pasje en een pincode. Eenmaal aangekomen in de kluisjesruimte kun je ineens elk kluisje openen. Men gaat er immers vanuit dat je al hebt laten zien wie je bent.”
Voorzorg
Woordvoerder Henny van der Heiden van T-Mobile kan aanvankelijk niet geloven dat het zo makkelijk is om andermans gegevens te achterhalen. “Dat is volstrekt onmogelijk”, luidt zijn eerste reactie.
Kort daarna geeft de telecomprovider toe dat er waarschijnlijk wel sprake is van een probleem met het ‘markconforme beveiligingssysteem’. T-Mobile haalt My T-Mobile daarom ‘uit voorzorg’ offline, zo laat Van der Heiden weten.
“Het gaat ons om optimale veiligheid. Onze mensen gaan dit goed uitzoeken”, zegt Van der Heiden. T-Mobile hoopt dat abonnees de dienst ‘zo snel mogelijk’ weer kunnen gebruiken.
Ook in andere landen levert T-Mobile de dienst My T-Mobile. Het gaat daarbij bijvoorbeeld om Groot-Brittanniƫ, Oostenrijk en de Verenigde Staten
Paris Hilton
In januari werd T-Mobile al in verlegenheid gebracht nadat bekend werd dat een hacker er in was geslaagd om het Amerikaanse netwerk van de telecomgigant binnen te dringen. De hacker, de 21-jarige Nicolas Jacobsen, kon een jaar lang ongestoord zijn gang gaan.
Jacobsen slaagde er onder meer in om foto’s van Paris Hilton en Demi Moore buit te maken. Foto’s die Paris Hilton met haar cameramobieltje heeft gemaakt, doken dit weekeinde op internet op. Jacobsen liep tegen de lamp toen hij op een forum aanbood om persoonsgegevens van T-Mobile-abonnees te achterhalen.