Gemalto bekræfter: Efterretningstjenester hackede vores systemer

Illustration: Virrage Images/Bigstock
Lækkede dokumenter fra Edward Snowden afslørede i sidste uge, at NSA og GCHQ har stjålet krypteringsnøgler fra verdens største producent af simkort. Nu bekræfter producenten at den er blevet hacket af de to efterretningstjenester.

Simkort-producenten Gemalto bekræfter nu, at virksomheden sandsynligvis er blevet udsat for et cyber-angreb af de britiske og amerikanske efterretningstjenester GCHQ og NSA.

»Vores undersøgelse af de metoder, som dokumentet beskriver, og de angreb som Gemalto detekterede i 2010 og 2011, giver os grund til at tro, at et angreb foretaget af NSA og GCHQ sandsynligvis har fundet sted,« skriver Gemalto i en pressemeddelelse.

Læs også: Danske teleselskaber undersøger NSA's sim-kort-spionage

På baggrund af et nyt læk af interne efterretnings-dokumenter fra whistlebloweren Edward Snowden, kunne The Intercept fortælle, at de to organisationer allerede for år tilbage har stjålet krypteringsnøgler fra Gemalto.

Det skal have givet efterretningstjenesterne mulighed for at overvåge en betragtelig del af verdens mobilkommunikation, og herhjemme har teleselskaberne i spænding afventet en udmelding fra Gemalto, der producerer de simkort, som sidder i kundernes telefoner.

Læs også: Nyt NSA-læk: Hackede verdens største SIM-kort-producent

Men selvom Gemalto nu bekræfter angrebet, så afviser producenten, at der skal være tale om et massivt tyveri af krypteringsnøgler.

»Angrebene gav kun adgang til Gemaltos kontornetværk, og de kan ikke have resulteret i et større tyveri af krypteringsnøgler,« hedder et i pressemeddelelsen.

Selv hvis krypteringsnøglerne rent faktisk blev stjålet, ville efterretningstjenesterne – ifølge Gemalto – kun kunne overvåge kommunikation på 2G-netværk, da de ikke mener, at 3- og 4G er sårbare på samme måde.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Deleted User

Det er også Gemalto der laver NemId tokens generatorer/nøgle-visere.

Men det er jo ikke et problem.

Nets er amerikansk ejet så de amerikanske myndigheder kan jo bare gå til Nets og bede om de oplysninger de har brug for og så er Nets forpligtet til at udlevere dem.

At det ikke er et problem består selvfølgelig i at det er ligegyldigt om du har 1 eller 2 ulåste døre i dit hus hvis tyven vil ind og går rundt og huset og rusker i alle dørene.

  • 2
  • 0
#8 Deleted User

Spurgte Digitaliseringsstyrelsen om hvad jeg skulle gøre, nu hvor bagdøren helt sikkert står åben og fik først svar i dag, med 5 måneders forsinkelse, efter Ombudsmanden måtte rykke for svar:

Først vil jeg gerne beklage, at du ikke tidligere har fået svar på din henvendelse. Årsagen er en misforståelse mellem Digitaliseringsstyrelsen og Nets DanID i forhold til, hvorvidt din henvendelse blev besvaret af Nets DanID eller Digitaliseringsstyrelsen.

Din henvendelse har været videresendt til Nets DanID, som først og fremmest har understreget, at Gemalto overfor Nets på daværende tidspunkt har bekræftet, at ingen af Nets produkter har været påvirket af hacket. Herudover udtaler Nets DanID i forhold til dit spørgsmål følgende:

”I forhold til spørgsmålet, vil vi gerne uddybe forholdene omkring NemID hardwareenheden og administrationspinkoden. Indledningsvist vil vi gøre opmærksom på at privatnøglen først genereres når Hardwareenheden initialiseres ude ved brugeren. Der er ingen sammenhæng mellem privatnøglen og administrationspinkoden, hvilket betyder at selv hvis nogen skulle have haft kendskab til administrationspinkoden, vil de ikke kunne udlede privatnøglen heraf. Administrationspinkoden skal bruges hvis man ønsker at ændre indstillinger for hardwareenheden, således at det er muligt at eksportere privatnøglen. I kravsspecifikationsfasen for NemID på hardware blev det besluttet, at det ikke skulle kunne lade sig gøre at eksportere privatnøglen fra hardwareenheden på noget tidspunkt. Man valgte derfor at disable muligheden for at ændre indstillinger for hardwareenheden. Rent praktisk blev det gjort ved, at administrationspinkoden for hver enkelt hardwareenhed blev sat til tilfældige tal, som straks efter initialisering af hardwareenheden blev kasseret. Det betyder, at ingen, hverken Gemalto, Nets eller NemID brugeren, kender administrationspinkoden. Dersom Gemalto ikke opbevarer administrationspinkoderne, er det ikke muligt for en hacker at få fingre i disse.”

Jeg håber hermed, at din henvendelse er besvaret. Har du yderligere spørgsmål, er du naturligvis velkommen til at vende tilbage.

På baggrund af din henvendelse til Folketingets Ombudsmand er dette svar sendt i kopi til Folketingets Ombudsmand med henvisning til sagsnummer.

Med venlig hilsen Digitaliseringsstyrelsen

  • 2
  • 0
Log ind eller Opret konto for at kommentere