Laporan investigatif laman berita The Intercept, mengutip dokumen yang dibocorkan mantan kontraktor Badan Keamanan Nasional (NSA) Edward Snowden, menyebutkan bahwa dinas intelijen AS dan Inggris meretas produsen aplikasi software dari Eropa, Gemalto, untuk mendapatkan kunci-kunci ini.
Jika laporan ini akurat maka bisa disebut NSA dan padanannya di Inggris GCHQ memiliki kemampuan dalam memonitor secara diam-diam komunikasi global dari perangkat mobile tanpa ada surat perintah atau harus menyadapnya.
"Ini luar biasa besar dampaknya," kata Bruce Schneier, seorang kriptografer yang menjadi Chief Technology Officer pada perusahaan keamanan internet Resilient Systems dan peneliti pada Berkman Center, Universitas Harvard.
"Yang paling mengerikan adalah NSA meretas semua orang hanya untuk mendapatkan informasi mengenai segelintir orang," kata Schneier kepada AFP. "Mereka mendapatkan kunci-kunci enkripsi dari semua orang, termasuk Anda dan saya. Ini kebijakan bumi hangus."
Laporan itu menyebutkan bahwa dinas intelijen bisa saja memiliki akses ke rentang komunikasi yang jauh lebih luas ketimbang yang sudah dilaporkan. Dokumen-dokumen lainnya menunjukkan NSA bisa memonitor email dan komunikasi telepon biasa.
Schneier menyebut laporan itu kredibel dan kemungkinan besar menunjukkan para pembuat kartu SIM lainnya juga telah diretas.
"Anda kira ini hanya satu-satunya perusahaan yang diretas? Mustahil," kata dia.
Sarah Ludford, anggota parlemen Inggris dari kubu Demokrat Liberal, berkata melalui Twitter bahwa tindakan yang dilakukan dinas intelijen Inggris dan AS itu telah merusak keamanan siber vital dan lebih jauh membuat para legislator terlihat bodoh.
NSA enggan mengomentari laporan ini saat dimintai pendapat oleh AFP.
Gemalto sendiri menganggap masalah ini sangat serius dan akan mengerahkan semua sumber daya yang ada untuk investigasi menyeluruh atas laporan ini.
Perusahaan itu menambahkan Gemalto bukanlah target langsung dari serangan intelijen ini, melainkan sebanyak mungkin informasi dari sebanyak mungkin telepon mobile.
Namun beberapa pakar enggan terlalu cepat menyimpulkan laporan investigatif The Intercept itu.
"Salah satu alasan saya skeptis adalah bahwa pemerintah-pemerintah lainnya juga menggunakan metode lain dalam menangkap komunikasi dan data nirkabel yang tidak aman untuk dimulai," kata Darren Hayes, direktur keamanan siber pada Fakultas Ilmu Komputer dan Sistem Informasi, Universitas Pace.
"Saya tak yakin pemerintah AS atau Inggris bersedia menggunakan peretas dalam cara sama seperti digunakan Tiongkok atau Rusia."
Schneider mengatakan informasi lebih banyak lagi diperlukan untuk mengetahui dengan pasti kunci enkripsi yang dikumpulkan, namun sepertinya itu lebih memungkinkan mereka bisa mendapatkan akses ke komunikasi telepon ketimbang transfer data, sehingga SMS atau pesan suara mungkin bisa diakses tapi tidak untuk Skype atau layanan-layanan berbasis Internet lainnya.
"Saya kira perusahaan itu harus melakukan apa yang sudah dilakukan Sony (setelah diretas), yakni menyewa tim forensik," kata Schneier. "Kita perlu rincian-rincian mengenai bagaimana hal ini terjadi dan apa yang bisa diperbuat untuk meremediasinya."
John Pirc, pendiri perusahaan keamanan Bricata yang berbasis di Virginia, mengatakan laporan itu masuk akal dan jika benar bisa merusak kepercayaan pada komunikasi mobile.
"Jika seseorang mengakses kartu SIM dan memasukkan malware (virus) di dalamnya, maka itu berarti siapa pun bisa melakukannya," kata Pirc kepada AFP.
Pirc menyatakan pengungkapan itu dapat merugikan pabrikan-pabrikan atau perusahaan-perusahaan komunikasi jika mereka gagal mengambil langkah dalam menutup kelemahan keamanannya.
"Jika hal ini kemudian terbukti benar, maka semua konsumen meski diminta mengganti dengan kartu SIM baru," kata dia seperti dikutip AFP.