W ubiegłym roku miała miejsce afera podsłuchowa w świecie big tech. Pierwsze raporty dowiodły, że pracownicy Amazona, Google i Apple odsłuchują klipy nagrane przez asystentów głosowych, a kolejne — że to samo zleca Microsoft, a także Facebook. Po nagłośnieniu tej sprawy większa część powyższego grona (ale nie Microsoft) zadeklarowała, że kończy ze słuchaniem rozmów użytkowników. Gigant wyklarował swoje zasady i wydawałoby się, że afera przycichła. Nic z tego. „The Guardian” wyciągnął na światło dzienne nowe fakty.
Jak wynika z najnowszego raportu, program transkrypcji rozmów w Skype i z Cortaną, prowadzony w celu ulepszenia rozpoznawania mowy, działał przez lata bez środków bezpieczeństwa. Są to słowa byłego podwykonawcy, z którym rozmawiał „The Guardian”. Twierdzi on, że w ciągu dwóch lat przejrzał tysiące potencjalnie wrażliwych nagrań na swoim laptopie, pracując z domu w Pekinie. Pracownicy Microsoftu mieli dostęp do celowych lub nieumyślnych wywołań asystentki oraz rozmów w Skype za pośrednictwem aplikacji uruchamianej w przeglądarce Chrome na ich prywatnych laptopach, łącząc się przez chiński Internet. Nie mieli za to żadnego wsparcia w zakresie bezpieczeństwa w celu ochrony tych danych przed ingerencją ze strony przestępców lub państwa. Zostali też poinstruowani, aby wykonać pracę przy użyciu nowych kont Microsoft z tym samym hasłem, co miało ułatwić zarządzanie. Były podwykonawca dodał, że weryfikacja pracowników praktycznie nie istnieje.
Podczas rekrutacji były pracownik nie został nawet dobrze poznany. Wystarczyły właściwie tylko dane chińskiego konta bankowego. Początkowo pracował w biurze, jednak wykonawca po pewnym czasie pozwolił mu przenieść pracę do domu, gdzie miał dostęp do wszystkiego z domowego laptopa, przy użyciu prostej nazwy użytkownika i hasła. Co ciekawe, nazwy użytkowników i hasła były wysyłane do nowych pracowników w postaci zwykłego, niezaszyfrowanego tekstu (plaintext), przy czym nazwy nadawano według prostego schematu, a hasło było takie samo dla każdego pracownika, który dołączał w danym roku. Hipotetycznie wystarczyło przekazać te dane logowania dowolnej osobie z zewnątrz, by mogła podsłuchiwać rozmowy. Były one niezabezpieczone, również gdyby doszło do kradzieży danych logowania.
Dodatkowe kontrowersje budzi decyzja Microsoftu, by prowadzić outsourcing prac związanych z weryfikacją nagrań w języku angielskim akurat w Chinach. Rodzi to obawy, że Brytyjczycy (i osoby posługujące się brytyjską odmianą angielskiego) mogli być podsłuchiwani przez chińskie władze. Mieszkając w Chinach, pracując w Chinach, masz już przejęte niemal wszystko. Nigdy wcześniej się nad tym nie zastanawiałem — powiedział były pracownik. A czy zastanawiał się nad tym Microsoft?
844bf20.png)