De grote simkaarthack: wat weten ‘ze’ van ons?

Het laatste afluisterschandaal waarin de uitermate productieve luistervinken van de NSA betrokken lijken te zijn, breidt zich gestaag uit. Onlangs werden we nog verrast door het nieuws dat vele prominente figuren zijn afgeluisterd, waaronder hoogwaardigheidsbekleders als de Duitse bondskanselier Angela Merkel.

Nu lijkt het erop dat ook de grootste simkaartproducent ter wereld, het Nederlandse bedrijf Gemalto, slachtoffer is geworden van een mega-hack. In een obscure samenwerking heeft de NSA dit samen met haar Britse evenknie, het Government Communications Headquarters (GCHQ) voor elkaar gebokst.

Maar wat betekent dat voor u? Het zit eigenlijk zo: iedere simkaart heeft een unieke versleutelde code, die ervoor zorgt dat de kaart ‘herkend’ wordt door providers en netwerken. Normaal gesproken zit deze code goed en veilig versleuteld, Gemalto gaat daar prat op, het motto van het bedrijf is ‘security to be free’. Sinds het nieuws over de hack naar buiten kwam is het bedrijf dan ook enorm gekelderd in beurswaarde.

De hack van de NSA zorgt er in principe voor dat de gegevens van een groot aantal  simkaarten, Gemalto heeft een wereldwijd marktaandeel van zo’n vijftig procent en produceert bijna twee miljard nieuwe simkaarten per jaar, volledig ongemerkt voor providers, overheden en telefoongebruikers, afgeluisterd kunnen worden. Ook de drie grote telecomproviders in Nederland (T-Mobile, Vodafone en KPN) gebruiken simkaarten van Gemalto. Zij stellen een onderzoek in.

De hack vond al plaats in 2010, maar kwam een paar dagen geleden pas aan het licht door documenten die door klokkenluider Edward Snowden werden geopenbaard. Op deze manier omzeilen de ‘veiligheidsdiensten’ de grondregel op het gebied van afluisteren: er moet altijd toestemming zijn van een rechter. Als niemand het merkt, zal er ook geen haan naar kraaien, zo moeten ze bij de NSA en GCHQ gedacht hebben. Totdat het uitkomt natuurlijk.

In ieder land waar Gemalto-simkaarten worden gebruikt (en dat zijn er nogal wat) is het nu de vraag in hoeverre de NSA de inwoners ervan onrechtmatig heeft geluistervinkt. Het is geen issue óf de wet is overtreden – dat is namelijk vrij duidelijk – maar nu is het meer een kwestie van bewijzen op welke schaal dit gebeurt is. Ook Gemalto gaat de hack onderzoeken. Misschien wordt het nu ook eens tijd voor de Nederlandse regering om deze grove schendingen van privacy te onderzoeken?