NSA hackte in Nederland gevestigd simkaartbedrijf
© AFP

NSA hackte in Nederland gevestigd simkaartbedrijf

Voor het eerst is er bewijs dat de Amerikaanse inlichtingdienst NSA een in Nederland gevestigd bedrijf heeft gehackt. Met de buitgemaakte gegevens kunnen de Amerikanen buitenlands telefoonverkeer zonder medeweten van het betreffende land of de provider ontcijferen en afluisteren.

Speculanten, die kennen Gemalto wél

De champagnekurken knalden niet echt, toen Gemalto in 2013 in de AEX kwam. 'Wat heeft dit bedrijf nu te zoeken in Amsterdam?' Lees hier het profiel van het in Amsterdam gevestigde bedrijf.

Slachtoffer van de digitale inbraak is Gemalto, een bedrijf met een kantoor aan de Amsterdamse Zuidas en een notering aan de Amsterdamse beurs, dat chips maakt voor onder meer simkaarten, bankpasjes en paspoorten. Dat schrijft het online tijdschrift The Intercept in een artikel dat vanavond is gepubliceerd. The Intercept baseert zich op nieuwe documenten van klokkenluider Edward Snowden.

Het was de NSA om de encryptie-codes van de simkaarten te doen, blijkt uit de documenten. Die sleutels zijn bedoeld om telefoonverkeer te beveiligen. Gemalto produceert twee miljard simkaarten per jaar, onder meer voor Vodafone en T-Mobile.

Doordat de Amerikanen de beveiligingscodes ontvreemdden bij Gemalto, zijn zij in staat al het telefoonverkeer dat afkomstig is van de betreffende telefoons te onderscheppen en te ontcijferen.

Daardoor hebben zij geen medewerking nodig van overheden of telecomproviders om gesprekken af te luisteren: ze kunnen de communicatie simpelweg uit de lucht plukken. 'Met al die sleutels in je hand kun je de telefoongesprekken via radiogolven eenvoudiger afluisteren', zegt Ronald Prins van digitaal beveiligingsbedrijf Fox-IT. 'Dit is een extra manier om communicatie te onderscheppen.'

Voor deze praktijk richtte de NSA met de GCHQ in april 2010 de Mobile Handset Exploitation Team op. In totaal zouden miljoenen beveiligingssleutels zijn gestolen, blijkt uit de documenten van Snowden. Tijdens proeven in 2010 werden sleutels onderschept van telecomproviders in Iran, Afghanistan, Jemen, India, Tadzjikistan en India. Ook IJsland was een doelwit; het was de tijd dat Julian Assange daarvandaan de WikiLeaks-video van een Amerikaanse helikopteraanval op Iraakse burgers publiek maakte.

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen, noemt de operatie 'verontrustend'. 'De techniek is indrukwekkend. Dit is van dezelfde categorie als de hack van Diginotar vier jaar geleden: binnendringen bij een beveiligingsbedrijf om de beveiliging bij alle klanten te kunnen breken.'

De AIVD en MIVD werken intensief samen met de Amerikanen en Britten. Verantwoordelijk minister Ronald Plasterk heeft altijd gezegd dat zij zich in Nederland aan de wet dienen te houden. Er zijn nu dus sterke aanwijzingen dat dat niet het geval is. Het ligt voor de hand dat Nederlandse diensten, onbewust, ook profiteren van dit soort hacks. De MIVD en de NSA wisselen op regelmatige basis inlichtingen uit, maar hoe zij aan die gegevens komen, vertellen ze elkaar niet.

Kamerlid Gerard Schouw (D66) noemt de hack 'verbijsterend'. 'Dit is gedaan door een bevriende veiligheidsdienst. Je verwacht dat niet. Aan de voorkant geven ze je een hand om samen te werken, maar via de achterdeur verkrijgen ze illegaal de gegevens van een bedrijf.'

Een woordvoerder van minister Plasterk herhaalt dat de AIVD zich aan de Nederlandse wet houdt. 'De toezichthouder CTIVD heeft meermalen geconstateerd dat de AIVD niet via de omweg van een buitenlandse dienst meewerkt aan praktijken die niet zijn toegestaan.' Schouw wil Plasterk volgende week ter verantwoording naar de Kamer roepen.

Een woordvoerder van Gemalto zegt de laatste jaren veel hackaanvallen te hebben gezien, 'maar deze kenden we nog niet'. 'We zullen alles op alles zetten om te onderzoeken wat de reikwijdte is van deze zeer verfijnde techniek om simkaartdata te verkrijgen. Dit bewijst hoe belangrijk cybersecurity tegenwoordig is.'