Dat laat Gemalto woensdag weten in een verklaring nadat de hack vorige week naar buiten werd gebracht op basis van documenten van klokkenluider Edward Snowden.
Gemalto stelt dat alleen de buitenste laag van het netwerk gehackt is en dat het Amerikaanse NSA en Britse GCHQ geen toegang hebben gehad tot de omgeving met encryptiesleutels van simkaarten.
Volgens de documenten van Snowden zouden de veiligheidsdiensten zeven miljoen encryptiesleutels hebben buitgemaakt.
Normaal is telefoonverkeer tussen twee simkaarten beveiligd, maar met de encryptiesleutels kan het verkeer eenvoudig worden afgetapt. Daar is dan geen tussenkomst van een rechter of hulp van een provider bij nodig.
Gemalto trekt in twijfel dat deze encryptiesleutels op zo’n grote schaal gestolen zijn. Het bedrijf produceert zo’n twee miljard simkaarten per jaar en is daarmee marktleider.
Verschillende hacks
De aanvallen van de NSA en GCHQ zouden in 2010 en 2011 hebben plaatsgevonden en hoewel Gemalto zegt regelmatig slachtoffer te zijn van cyberaanvallen heeft het activiteiten in die periode gevonden die overeen lijken te komen met een hack door de veiligheidsdiensten.
In 2010 werd het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails naar medewerkers onderschept met malware. Tegelijkertijd werden verschillende pogingen gedaan om de pc’s van Gemalto-medewerkers te kraken die regelmatig contact hadden met klanten van het bedrijf.
De organisatie of personen achter de aanvallen werden nooit gevonden, maar Gemalto heeft nu een sterk vermoeden dat de NSA en GCHQ er achter zaten.
De delen van het netwerk die gehackt zijn bevatten echter geen encryptiesleutels van simkaarten en er zijn geen inbraken gevonden op het deel van het netwerk waar die wel zijn opgeslagen. Dat gedeelte is veel moeilijker te penetreren.
Andere fabrikanten
De Amerikaanse en Britse veiligheidsdiensten probeerden volgens Gemalto dan ook om communicatie tussen het bedrijf en zijn klanten, bijvoorbeeld providers, te onderscheppen. Die communicatie was in 2010 al beveiligd, maar Gemalto geeft aan dat in de simkaartmarkt niet alle fabrikanten toen al van die beveiliging gebruikmaakten.
Volgens de Nederlandse simkaartmaker zijn er dan ook meerdere fabrikanten getroffen door de hack. Zo wordt er in de documenten gesproken van klanten waar Gemalto nooit simkaarten aan heeft geleverd en wordt er verwezen naar kantoren in Japan, Colombia en Italië waar Gemalto destijds geen afdelingen had.
Het bedrijf zal de netwerken blijven monitoren en de processen blijven verbeteren. “We hebben geen plannen om verder over deze zaak te communiceren tenzij er een significante ontwikkeling plaatsvindt.”