Eater
Een zelfgeleerde techliefhebber die zich “Louis” noemt, zegt een kwetsbaarheid te hebben ontdekt op de website van Trump Mobile. Daardoor zou hij klantgegevens hebben kunnen ophalen via eenvoudige HTTP POST-verzoeken. Volgens hem werden gegevens van meer dan 27.000 klanten blootgesteld die een bestelling hadden geplaatst.
De kwetsbaarheid lijkt inmiddels te zijn verholpen, maar Trump Mobile heeft de fout publiekelijk nog niet bevestigd en ook niet gereageerd op vragen van de media.
The Register berichtte over deze claim. Louis omschreef zichzelf als “gewoon een nerd tussen banen met te veel tijd over” en wilde niet als beveiligingsonderzoeker worden bestempeld.
Welke gegevens zijn mogelijk gelekt en hoe werkte de fout?
Volgens Louis kon hij gegevens inzien zoals voor- en achternaam, primaire en secundaire adressen, e-mailadressen, telefoonnummers, klant- en accountnummers, en inschrijvings-ID’s, zoals pre-ordernummers.
Uit de data bleek ook of een bestelling telefonisch of online was geplaatst. Op basis van zijn uitleg leken de gegevens geen betaalkaartnummers of andere direct financiële gegevens te bevatten.
Louis legde uit dat het niet ging om een SQL-injectie of een geavanceerde aanval. Volgens hem kon hij via een simpele HTTP POST-request naar het API-eindpunt van de website, rechtstreeks vanuit de browserconsole, klantgegevens ophalen.
Het eindpunt gaf telkens tien records tegelijk terug. Elk record bevatte een klantnummer waarmee vervolgens extra records konden worden opgevraagd. Louis schatte dat zijn script in ongeveer een uur zo’n 5.000 klantrecords verzamelde. Hij bevestigde dat de kwetsbaarheid echt was en verwijderde daarna de gegevens die zijn script had verzameld.
Pogingen tot melding, stilzwijgen van Trump Mobile en de lancering van de T1-telefoon
Louis probeerde zijn bevindingen te melden bij Trump Mobile en andere partijen die actie konden ondernemen, maar kreeg geen reactie. De kwetsbaarheid lijkt inmiddels te zijn opgelost, ondanks het gebrek aan communicatie.
Toen hij Trump Mobile via de gebruikelijke kanalen niet kon bereiken, deelde hij zijn bevindingen met twee YouTube-makers die naar verluidt de Trump T1-telefoon hadden besteld: Stephen “Coffeezilla” Findeisen en Charles “penguinz0” White Jr.
Hun video’s over deze bevindingen zijn samen al miljoenen keren bekeken. The Register meldde ook dat het Trump Mobile had benaderd, maar geen reactie kreeg.
De bekendmaking komt op een moment dat de Trump T1-smartphone deze week de eerste pre-orderklanten begint te bereiken, nadat de lancering aanvankelijk gepland stond voor augustus 2025. Het toestel kost $499 als onderdeel van een promotieaanbieding.
Hoewel het merk het toestel bij de aankondiging in juni 2025 nog omschreef als “Made in America”, bevestigen klanten die het toestel hebben ontvangen dat het in feite een opnieuw vormgegeven HTC U-24 Pro is. Deze Android-telefoon uit het middensegment werd oorspronkelijk in juni 2024 uitgebracht door de Taiwanese fabrikant HTC. De aanduiding “Made in America” is inmiddels uit de marketing van Trump Mobile verwijderd.
Op de achterkant staat een in het toestel gegraveerde Amerikaanse vlag, maar deze heeft slechts 11 strepen in plaats van de gebruikelijke 13. De T1 beschikt over 512 GB opslag, een 120Hz-scherm, een Snapdragon 7-chip en Truth Social is standaard geïnstalleerd.
Wat getroffen Trump Mobile-klanten nu moeten doen
Klanten die via Trump Mobile een pre-order hebben geplaatst, doen er goed aan alert te blijven op mogelijke phishingpogingen met de gelekte informatie. E-mailadressen, telefoonnummers en fysieke adressen uit dit soort datasets worden vaak misbruikt voor gerichte oplichtingscampagnes.
Gebruikers kunnen daarnaast overwegen om identiteitsmonitoring in te schakelen via hun bank of creditcardverstrekker. Wees ook extra voorzichtig met onverwachte telefoontjes of berichten die verwijzen naar Trump Mobile-bestellingen. Trump Mobile heeft tot nu toe geen openbare melding gedaan aan getroffen klanten en ook de omvang van de datalekken niet bevestigd.
