T-Mobile, KPN, Vodafone, Verizon en ook AT&T: de Amerikaanse en Britse geheime dienst kunnen simkaarten van die providers al jaren afluisteren. Uit documenten van klokkenluider Edward Snowden blijkt dat de NSA en GHCQ het bedrijf Gemalto hackten, dat 2 miljard simkaarten per jaar maakt, voor zo'n 450 providers over de hele wereld. Dat deden ze al in 2010.
Door de computers van Gemalto te hacken kregen de geheime diensten de beveiligingssleutels van simkaarten in handen. Met die sleutels is het mogelijk om telefoonverkeer te onderscheppen, zonder medewerking van telecombedrijven. "Ze hebben het equivalent van onze huissleutel", zegt advocaat Mark Rumold van de Electronic Frontier Foundation. "Dat heeft wereldwijd gevolgen voor de pricacy."
Nieuwe simkaart?
T-Mobile, KPN en Vodafone opereren natuurlijk ook in Nederland. KPN zegt simkaarten van verschillende merken te gebruiken, waaronder die van Gemalto. Het bedrijf onderzoekt nog wat de impact is van de hack. T-Mobile heeft simkaarten van Gemalto in omloop, maar weet niet zeker of ook sleutels van Nederlandse Gemalto-simkaarten zijn gestolen. Vodafone onderzoekt de beschuldigingen, en kan er verder nog niets over zeggen.
Moet je nou een nieuwe simkaart kopen? Nee, zegt beveiligingsexpert Ronald Prins van Fox-IT. Ondanks dat ongeveer de helft van alle simkaarten bij Gemalto vandaan komt.
"Het gaat de NSA en GCHQ niet om Nederlandse of Europese simkaarten, maar om doelen in bijvoorbeeld Somalië of in het Midden-Oosten", zegt Prins. "Bij Gemalto maken ze simkaarten die over de hele wereld worden verspreid; de encryptie van al die simkaart is nu vermoedelijk in handen van NSA en GCHQ."
Maar volgens Prins is het niet zo dat ze al die simkaarten ook kunnen afluisteren. "Dat kan alleen op locatie: bepaalde troepen zien bijvoorbeeld iemand bellen. Zij kunnen dat signaal - radiogolven - aftappen en het gesprek volgen door middel van de encryptie. Voor zover bekend wordt dit niet in Nederland gedaan."
Wel vindt Prins het een groot probleem, vanwege het privacy-aspect en "omdat het hier gaat om een hack op een Europees bedrijf en voor dat bedrijf heeft deze hack flinke gevolgen". Dat gebeurt vandaag al: de koers van Gemalto is onderuit gegaan.
Geen bewijs
Gemalto laat vandaag weten dat ze van niets wisten en dat ze de aantijgingen nog niet kunnen bevestigen. Door de jaren heen zijn er meerdere inbraakpogingen geweest die ze hebben kunnen afweren. Voor deze hack hebben ze nog geen bewijs gevonden. Ze gaan het wel onderzoeken.
Paul Beverly, een van de topmannen van Gemalto, zei gisteren tegen The Intercept dat 'ie bezorgd is. "Ik wil weten wat de gevolgen zijn voor onze klanten."
Ruzie?
Wordt het nu ruzie met Amerika en Groot-Brittannië? Tweede Kamerlid Gerard Schouw van D66 gaat in ieder geval Kamervragen stellen. Volgens hem is het ook de eerste keer dat er bewijs is dat de NSA een Nederlands bedrijf heeft gehackt, zei hij vanmorgen in het Radio 1 Journaal.
Europarlementariër Sophie in't Veld (ook D66) heeft een lijstje vragen voor Brussel.
Matthew Green van het Johns Hopkins Information Security Institute zei tegen The Guardian dat de inlichtingendiensten sowieso de Nederlandse wet overtreden hebben, omdat het hoofdkantoor van Gemalto in Amsterdam staat. En waarschijnlijk overtreden ze ook de wet in andere landen. Gemalto heeft kantoren in 43 landen.
NSA en GHCQ willen vooralsnog niet reageren. GHCQ zegt dat alleen dat ze binnen Europese wetten opereren.