Microsoft vende i dati degli utenti all'FBI?

Nelle prime tre settimane di gennaio, Microsoft ha subito diversi attacchi da parte del Syrian Electronic Army (SEA), un team di cracker fedeli al regime di Assad. Usando una semplice tecnica di phishing sono riusciti a rubare documenti legali relativi alle inchieste giudiziarie in corso su alcuni utenti che usano i servizi dell’azienda di Redmond. Il SEA ha ora divulgato queste informazioni per cercare di dimostrare che i dati degli utenti sono stati venduti all’FBI. In realtà, si tratta di una normale prassi seguita da tutte le software house.

I documenti rubati dai cracker siriani fanno riferimento alle transazioni tra il team Global Criminal Compliance di Microsoft e la Digital Intercept Technology Unit (DITU) dell’FBI. Ogni volta che il DITU notifica un mandato del giudice, l’azienda di Redmond emette una fattura che copre i costi associati alla ricerca dei dati degli utenti sospettati di aver commesso un crimine. Per ogni richiesta di accesso, Microsoft ha chiesto una somma compresa tra 50 e 200 dollari. Le stesse cifre vengono addebitate dalle compagnie telefoniche, quando l’FBI deve individuare la posizione di una persona. Tutto legale quindi. Microsoft non vende nessuna informazione, come invece sostiene il Syrian Electronic Army.

Ciò che stupisce è il numero elevato di richieste e quindi la spesa sostenuta per compiere queste attività investigative. A dicembre 2012, Microsoft ha emesso una fattura di 145.100 dollari, 352.200 dollari ad agosto 2013 e 281.000 a novembre 2013. Dalle fatture si deduce che la DITU invia centinaia di richieste al mese. La DITU viene citata in alcune slide rese pubbliche da Edward Snowden relative al programma PRISM. In pratica, questa unità speciale dell’FBI si occupa di raccogliere i dati personali degli utenti che usano i servizi delle principali aziende, tra cui Microsoft.

Un portavoce ha confermato indirettamente che i documenti rubati sono veri:

In base alle leggi statunitensi, Microsoft può chiedere il rimborso dei costi sostenuti per soddisfare le richieste di accesso ai dati degli utenti, in seguito al mandato del giudice.

Si potrebbe però utilizzare un sistema più sicuro, invece di una normale email che più essere letta da cracker esperti con l’aiuto di un dipendente abbastanza distratto.