Luca Annunziata

Microsoft, la spia e la privacy di Hotmail

Per scovare l'autore della fuga di segreti aziendali, Redmond decise di leggere la posta di un utente del servizio email gratuito. Nervosismo tra gli addetti ai lavori per la disinvoltura con cui Big M ha frugato nella casella altrui

Roma - "Azioni straordinarie" per un "caso particolare": John Frank, capo dell'ufficio legale di Microsoft e vicepresidente della multinazionale, decide di scrivere sul blog aziendale per spiegare al pubblico la versione di Redmond su quanto accaduto nella vicenda che ha visto l'arresto di un ex-dipendente per aver diffuso informazioni riservate sul codice sorgente di Windows. Nel corso dell'indagine interna Microsoft ha deciso di avvalersi anche delle informazioni custodite nella casella Hotmail di un utente (oggi il servizio si chiama Outlook.com): e lo ha fatto sfruttando le pieghe dell'accordo sottoscritto per l'utilizzo del prodotto, convinta di essere legalmente autorizzata a farlo.



Le informazioni contenute nel comunicato di Frank forniscono più dettagli su quanto successo. A quanto si apprende dalla ricostruzione offerta, lo sviluppatore infedele Alex Kibkalo aveva inviato informazioni riservate a un blogger francese (fino a questo punto ancora privo di una identità pubblica): quest'ultimo si era rivolto a un altro intermediario, per ottenere la conferma che il codice in suo possesso fosse autentico. A quel punto questo intermediario (anche lui anonimo, per ora), si è rivolto a una sua conoscenza a Redmond per capire che cosa avesse tra le mani: il suo interlocutore era niente di meno che l'allora capo della divisione Windows Steven Sinofsky, il quale resosi conto del problema ha dato il la alle verifiche interne. Siamo nel settembre del 2012, e il team Microsoft Trustworthy Computing Investigations (MTCI) inizia le sue indagini: prima interrogando l'intermediario, poi risalendo al blogger che gli aveva passato il materiale e decidendo quindi di avere accesso alla sua email (dopo aver consultato l'ufficio legale).
Nel corso delle indagini il MTCI scopre che effettivamente tra Kibkalo e il blogger sono intercorse delle comunicazioni: all'interno di queste i due prendevano via Messenger accordi su come scambiarsi informazioni, Kibkalo inviava un link al proprio storage SkyDrive (oggi OneDrive) per consentire all'altro di scaricare alcune patch per Windows 8 (che non era ancora stato rilasciato al pubblico), gli forniva altro codice relativo anche all'Activation Server SDK (il meccanismo attraverso il quale si possono attivare le copie dei prodotti Microsoft tramite un codice), e addirittura potrebbe aver fornito al blogger le credenziali di accesso a server interni al campus di Microsoft. Microsoft convoca e interroga anche Kibkalo, che pare ammetta tutto, ma sarà solo a luglio del 2013 che Microsoft comunicherà i risultati della propria indagine interna all'FBI: da quella denuncia sarebbe poi scaturito l'arresto avvenuto ieri, a marzo 2014.

In tutta questa ricostruzione ci sono alcuni punti che hanno fatto drizzare le antenne agli osservatori d'Oltreoceano, sempre molto attenti alla privacy e alle azioni delle grandi multinazionali del Web che controllano le informazioni personali di milioni di clienti. La decisione di accedere alla casella Hotmail del blogger francese è senz'altro il punto nodale della vicenda: all'epoca del fatto, settembre 2012, Microsoft non aveva chiesto e dunque certo non aveva ottenuto alcuna autorizzazione da parte di un giudice per farlo. Ma, si giustifica Microsoft, un giudice non può emettere un mandato che autorizzi un'azienda a perquisire sè stessa: i server che contengono le caselle Hotmail sono già di Microsoft, che dunque può agire come meglio ritiene con il loro contenuto. Redmond decise di sondare il contenuto della posta elettronica privata di un suo cliente, avvalendosi di alcune clausole contenute nel contratto di servizio sottoscritto all'attivazione che consentono di farlo. Laddove ci sia concreto sospetto che il contenuto della corrispondenza possa rivelare informazioni utili a garantire la sicurezza dei cittadini, o comprenda materiale in violazione dei diritti di Microsoft o dei suoi clienti, l'azienda può avere accesso alla casella: una clausola che fino a oggi nessuno pensava sarebbe mai stata sfruttata.

Microsoft invece l'ha fatto, scatenando gli strali dei più garantisti tra gli addetti ai lavori. E l'uscita di John Frank sul blog aziendale implicitamente pare confermare che forse in questo caso Microsoft si sia spinta un po' oltre: sebbene come spiegato nel dettaglio ci fossero i presupposti legali per compiere questo gesto (che poi ha condotto a un arresto, segno che evidentemente dove c'era fumo c'era anche arrosto), a Redmond hanno deciso comunque di rivedere le policy interne per meglio garantire in futuro i propri clienti. I termini di servizio non cambieranno ma, oltre a un doppio parere da parte di due team interni indipendenti, Microsoft chiederà anche il parere di un ex-giudice federale sulla solidità delle basi legali per una ispezione di un account. Se una qualunque di queste tre parti dovesse dare parere negativo, d'ora in avanti non si procederà all'apertura della posta altrui. Infine, eventuali azioni di questo tipo saranno inserite (in formula aggregata) nel rapporto semestrale di trasparenza che oggi comprende già il numero di richieste di informazioni giunto da enti governativi, nato anche sulla scia dello scandalo Datagate.

Resteranno in vigore delle eccezioni a queste regole, in particolare per gli account aziendali dei dipendenti, o quelli personali dei dipendenti aperti sui servizi di Microsoft. Paradossalmente, il caso di Alex Kibkalo sembra essere un paradigma di queste situazioni: il dipendente infedele ha utilizzato esclusivamente servizi Microsoft per tentare di danneggiare la sua azienda, una vicenda davvero insolita che ha facilitato il compito degli investigatori alla ricerca della prova del suo tradimento. Di certo la questione rende chiaro ancora una volta il grande potere che le grandi aziende ICT vantano nei confronti dei propri clienti: tutte le informazioni private sono a portata di clic dentro i datacenter aziendali, ed è solo questione di fiducia e buonsenso ritenere che la riservatezza sarà garantita. Salvo cause di forza maggiore.

Luca Annunziata

8 Commenti alla Notizia Microsoft, la spia e la privacy di Hotmail
Ordina
  • "Il fine giustifica i mezzi."
    non+autenticato
  • uno del sito wzor.net ? (curiosamente morto proprio in questi gg.. twitter compreso )
    non+autenticato
  • > uno del sito wzor.net ? (curiosamente morto
    > proprio in questi gg.. twitter compreso
    > )

    La sua identità non è stata rivelata. Si sa che è francese e che aveva un weblog.
  • Ma Ms non era quella che si muoveva solo dietro ad un mandato ?A bocca aperta

    " Laddove ci sia concreto sospetto che il contenuto della corrispondenza possa rivelare informazioni utili a garantire la sicurezza dei cittadini, o comprenda materiale in violazione dei diritti di Microsoft o dei suoi clienti, l'azienda può avere accesso alla casella: una clausola che fino a oggi nessuno pensava sarebbe mai stata sfruttata."

    Su questo non avevo nessun dubbio,per carità non solo Ms,dentro queste frasi però ci si può far rientrare un pò tutto quello che fa comodo alla multinazionale di turno,compreso il tanto apprezzato "garantire la sicurezza dei cittadini"...

    Comunque sveglio il tipo,stai facendo una soffiata a danno di Ms e usi la sua posta elettronica e il suo messenger ? E che cavolo su....
    non+autenticato
  • <Comunque sveglio il tipo,stai facendo una soffiata a danno di Ms e usi la sua posta elettronica e il suo messenger ? E che cavolo su....>

    Stra-quotoA bocca aperta
    Probabilmente temeva che veicolando il tutto via GMail, sarebbe stata BigG a fare lo scoop:D
  • - Scritto da: Gianluca70
    > <Comunque sveglio il tipo,stai facendo una
    > soffiata a danno di Ms e usi la sua posta
    > elettronica e il suo messenger ? E che cavolo
    > su....>
    >
    > Stra-quotoA bocca aperta
    > Probabilmente temeva che veicolando il tutto via
    > GMail, sarebbe stata BigG a fare lo scoop:D

    Infatti anche GMail e gli altri servizi più diffusi di posta elettronica hanno clausole analoghe. Lo leggevo nel weekend su un articolo, nato ovviamente sulla scia di questo caso.
    Molto meglio procedere con GPG, se si vuole spifferare qualcosa di non pubblico dominio. Certo che se il destinatario della mail birichina è un collaborazionista, anche con GPG ti possono fregare.
    Izio01
    3896
  • ==> Infatti anche GMail e gli altri servizi più /diffusi di posta elettronica hanno clausole analoghe.

    Una clausola vessatoria o anche solo non perfettamente legale è priva di validità. Una clausola che autorizzi a compiere un'azione che solo un magistrato potrebbe autorizzare non può essere considerata valida, se un avvocato ha le palle per impugnarla.

    Ma gli azzeccagarbugli avvocati ce l'hanno le palle?
    non+autenticato
  • > ==> Infatti anche GMail e gli altri servizi
    > più /diffusi di posta elettronica hanno clausole
    > analoghe.

    >
    > Una clausola vessatoria o anche solo non
    > perfettamente legale è priva di validità. Una
    > clausola che autorizzi a compiere un'azione che
    > solo un magistrato potrebbe autorizzare non può
    > essere considerata valida, se un avvocato ha le
    > palle per impugnarla.

    In effetti è così, solo che la questione andrebbe affrontata in sede UE, non dai singoli Stati membri. Ogni Stato ha leggi diverse, non sono così sicuro che quella clausola (e dovrei leggerla bene) sarebbe considerata vessatoria in ognuno di essi.