Segundo a Reuters, a Microsoft sabia que espiões chineses hackearam
usuários do Hotmail desde pelo menos 2009 e não avisou isso aos donos
das contas, mesmo anos depois. Agora, a Microsoft concordou em alterar a
sua política e alertar usuários sobre invasões patrocinadas por
governos.
Da Reuters:
Especialistas da Microsoft concluíram há vários anos que
autoridades chinesas tinham invadido mais de mil contas de e-mail do
Hotmail, tendo como alvo líderes internacionais de minorias tibetanas e
uigures da China – mas decidiu não contar às vítimas, permitindo que os
hackers continuassem a sua campanha, de acordo com ex-funcionários da
empresa.
Alguns dos ataques vieram de uma rede chinesa chamada AS4808,
associada a grandes campanhas de espionagem. A Microsoft não questionou
que a maioria dos ataques veio da China, mas disse que alguns vieram de
outros países, sem revelar quais. Fontes dizem à Reuters que a empresa
estava com “medo de irritar o governo chinês”, e com “medo de
represálias da China”.
Em vez de dizer às pessoas afetadas o que aconteceu, a Microsoft
apenas as fez mudar suas senhas, sem explicar que elas foram alvos de
ciberespionagem:
Depois de um vigoroso debate interno em 2011 que chegou a
Scott Charney, principal executivo da Microsoft em segurança, e de Brad
Smith, seu assessor-geral e agora vice-presidente, a empresa decidiu
não alertar os usuários de que claramente algo estava errado, disseram
os ex-funcionários. Em vez disso, o Hotmail simplesmente forçou os
usuários a escolher novas senhas sem revelar o motivo.
A Microsoft ofereceu ao Gizmodo a seguinte declaração:
Nosso foco está em ajudar os clientes a manter as
informações pessoais seguras e privadas. Nossa principal preocupação era
garantir que os nossos clientes rapidamente tomassem medidas práticas
para proteger suas contas, incluindo uma redefinição forçada de senha.
Nós pesamos vários fatores na resposta a este incidente, incluindo o
fato de que nem a Microsoft nem o governo dos EUA foram capazes de
identificar a origem dos ataques, que não veio de um único país. Nós
também consideramos o impacto potencial sobre qualquer investigação
subsequente e as medidas em curso que estávamos tomando para evitar
possíveis ataques futuros.
Após uma série de pedidos de comentário da Reuters, a Microsoft disse
que iria alterar a sua política e, no futuro, contar a seus clientes de
e-mail quando suspeitasse de tentativas de hacking por governos.
Facebook e Yahoo atualizaram suas políticas recentemente para
informar aos usuários quando eles forem alvos de ataques patrocinados
por governos; o Google tem esta política desde 2012.
Não é a primeira vez que vemos a Microsoft em uma polêmica envolvendo e-mails e privacidade. Em 2014, a empresa confirmou que leu e-mails em uma conta privada do Hotmail,
a fim de identificar um funcionário que vazou segredos do Windows 8.
Eles disseram, inicialmente, que podiam fazer isso por ser algo previsto
nos termos de serviço.