Onlangs heb ik een nieuwe simkaart aangeschaft bij een lokaal telecombedrijf. Met deze simkaart kreeg ik een ‘nieuw’ telefoonnummer toegewezen. Nadat ik de simkaart in een telefoon had geplaatst, heb ik WhatsApp geïnstalleerd en geprobeerd om een WhatsApp-account te activeren met het ‘nieuwe’ telefoonnummer. Tot mijn verbazing verscheen na de activatie de profielfoto en statustekst van een ander persoon in ‘mijn’ WhatsApp-account. Het bleek dat ik onbedoeld het WhatsApp-account van iemand anders had overgenomen.

Kort daarop ontving ik een bericht op WhatsApp van iemand met een buitenlands telefoonnummer, waarvan later zou blijken dat het de vorige eigenaar was van het ‘nieuwe’ nummer dat aan mij was toegewezen. Zonder te weten wie deze persoon was, vroeg ik of er iets aan de hand was. Pas na 2 dagen kreeg ik een antwoord. Ik kan me goed voorstellen welke paniek deze persoon moet hebben gevoeld, gezien het feit dat het nummer, dat blijkbaar nog in gebruik was, plotseling werd overgenomen door een ander. Op dat moment weet je niet wie het is en wat er aan de hand is. Het had bijvoorbeeld een hacker kunnen zijn met kwade bedoelingen.

Na 2 dagen vertelde iemand me dat het telefoonnummer dat ik gebruikte tot kortgeleden nog van de persoon was. Ik legde uit dat ik het nummer had gekregen van het telecombedrijf toen ik een nieuwe simkaart kocht, en dat ze het nummer hoogstwaarschijnlijk hadden gerecycled omdat er een tijdje niet opgewaardeerd was. De persoon was voor studie in het buitenland en niet had kunnen opwaarderen. Ik stelde voor om het nummer terug te geven; ik kon bijvoorbeeld de simkaart afgeven aan familie in Suriname. De persoon vond dit echter niet nodig en stond erop dat ik het mocht behouden. Ik vermoed dat de persoon in de tussenliggende periode al stappen had genomen om mogelijke negatieve gevolgen te beperken.

Ik vind het erg dat telecombedrijven zo onzorgvuldig omgaan met het recyclen van telefoonnummers. In de hedendaagse context is dit bijzonder gevaarlijk en brengt het aanzienlijke risico's met zich mee op het gebied van privacy en (cyber)veiligheid voor de getroffen gebruikers én hun contacten. Ik gebruik bewust het meervoud ‘bedrijven’, omdat ik dit probleem heb waargenomen bij beide grote telecombedrijven die momenteel actief zijn in Suriname.

Het feitelijke risico van gerecyclede telefoonnummers beperkt zich niet tot de telecombedrijven. De veiligheidsproblemen strekken zich uit naar applicaties van derden, zoals banken, winkels, sociale media en serviceproviders die de gekoppelde sms-diensten gebruiken als onderdeel van hun authenticatieproces en telefoonnummers beschouwen als de unieke identiteit van hun gebruikers. SMS-authenticatie is een methode waarbij er een One Time Password (OTP) naar de telefoon van de gebruiker wordt verstuurd via een sms-tekstbericht of een telefoontje. Recentelijk is ook een van de grote banken in Suriname overgestapt op dit systeem.

Onderzoekers verbonden aan Princeton University deden in 2021 onderzoek naar de veiligheids- en privacy risico’s van het recyclen van telefoonnummers door telecombedrijven. Ze concludeerden dat voormalige én toekomstige eigenaren van gerecyclede nummers kwetsbaar zijn voor diverse aanvallen, zoals denial of service, phishing en het overnemen van accounts (sociale media, e-mail, e-commerce, bankieren, etc.) via o.a. wachtwoordwijzigingen. Het gebruik van SMS-authenticatie wordt door hen ook sterk afgeraden.

Het is gemakkelijk voor te stellen wat er kan gebeuren als je telefoonnummer tegenwoordig in handen komt van een ander persoon. In het bovenstaande geval kreeg ik binnen enkele minuten toegang tot het WhatsApp-account van de vorige eigenaar, waarbij ik direct de profielfoto en statusbericht kon zien. Hoewel ik niet verder heb gezocht, had ik met weinig moeite ook toegang kunnen krijgen tot alle sociale media-accounts waarop dat nummer was geregistreerd, en uiteindelijk misschien zelfs tot back-ups en andere data opgeslagen bij verschillende serviceproviders zoals Microsoft en Google.

We worden bijna dagelijks (zelfs terwijl ik dit schrijf) gespamd met sms-reclameberichten en soms ook telefoontjes van telecombedrijven. Is het teveel gevraagd om telefoonnummers maandenlang ook te spammen met waarschuwingen dat het nummer gerecycled zal worden als er niet gauw opgewaardeerd wordt? Of hoe zit het met het herhaaldelijk (al dan niet automatisch) bellen door klantenservice naar die nummers om (in verschillende talen) door te geven dat dit zal gebeuren voordat ze worden gerecycled? Misschien had de persoon in het bovenstaande geval nog aan familie kunnen vragen om het nummer op te waarderen.

Tot slot een pro-tip: vermijd het gebruik van WhatsApp voor communicatie; gebruik liever Signal Private Messenger. Ik gebruik zelf al vanaf 2019 geen WhatsApp omdat het spyware is zoals alle andere apps van Meta/Facebook. In dit geval installeerde ik het voor een specifiek doel tijdelijk op een ander nummer dan dat welk ik dagelijks gebruik. Signal is aanzienlijk beter wat betreft privacy en veiligheid en zou niet toestaan dat persoonlijke gegevens kunnen worden gebruikt bij een accountovername, zoals in het bovenstaande geval.

Karel Donk