Door een fout in de website van Lebara konden telefoonnummers van klanten worden overgenomen, zo laat de NOS weten. Wie een nieuwe simkaart kocht, kon daar het telefoonnummer van een willekeurige Lebara-klant op laten zetten en zich vervolgens voordoen als die persoon.

De NOS heeft Lebara eerst gewaarschuwd, voordat het nieuws openbaar werd gemaakt. Het bedrijf loste het probleem direct op en zegt er vanuit te gaan dat geen misbruik is gemaakt van het lek. Lebara heeft zo’n 800.000 klanten, maar geen eigen netwerk.
Door het beveiligingslek zouden kwaadwillenden identiteitsfraude kunnen plegen en toegang kunnen krijgen tot websites die met 2-factorauthenticatie zijn beveiligd. Het illegaal overnemen van telefoonnummers wordt sim-swapping genoemd. Sinds 2018 stijgt het aantal slachtoffers van deze praktijk. Er zouden volgens RTL Nieuws zelfs criminele bendes in gespecialiseerd zijn. Die nemen PayPal-accounts van slachtoffers over of verschaffen zich toegang tot Google- of Apple-accounts. Ook zou op die manier met wat extra slimmigheid op e-mail-accounts kunnen worden ingebroken. Normaal wordt sim-swapping met een verificatiestap beveiligd, maar iemand had ontdekt dat je die bij Lebara kon overslaan en gaf dat door aan de NOS. Sim-swapping is normaal niet eenvoudig. Je hebt twee simkaarten nodig: de oude, met het over te zetten nummer, en een nieuwe, met een tijdelijk nummer. Van beide simkaarten moet het bezit worden bevestigd door een per SMS verstuurde code in te voeren. Bij Lebara kon de verificatie echter ook twee keer op de nieuwe simkaart worden uitgevoerd, waarna het telefoonnummer kon worden overgezet.