В Microsoft программа по распознаванию речи из Skype и Cortana годами велась без каких-либо мер безопасности. Контрактные сотрудники, преимущественно из Китая, получали доступ к записям звонков пользователей с потенциально уязвимой информацией и могли прослушивать их со своих личных устройств. Об этом The Guardian сообщил бывший подрядчик компании из Гонконга.
Никакой кибербезопасности
Записи команд голосовому ассистенту, отобранные случайным образом, а также телефонные переговоры пользователей по Skype передавались сотрудникам в обработку через веб-приложение для Google Chrome на их личные устройства.
При этом компания не предоставляла никаких механизмов по защите этих устройств от взлома или кибершпионажа, чтобы как-то защитить уязвимые данные.
Сотрудников не проверяли
Какая-либо серьезная проверка компанией сотрудников, в руки которых передавались записи разговоров, практически отсутствовала – утверждает источник.
“Не было никаких мер безопасности, я даже не помню, чтобы они делали мне нормальную KYC проверку [“знай своего клиента”, идентификация контрагента перед проведением финансовых и других уязвимых операций – ред.]. Думаю, они просто взяли данные с моего китайского банковского счета”, – рассказал он.
Поначалу сотрудник работал в офисе, но потом ему разрешили делать проверку из дома в Гонконге.
“Я анализировал британский английский (потому что я британец), для этого я прослушивал людей, чьи устройства Microsoft были настроены на британский английский, и у меня был доступ ко всему этому с моего домашнего ноутбука с простым логином и паролем”.
Один логин на всех
Логин и пароль ему прислали в незашифрованном виде на email. Те же самые учетные данные для удобства предоставлялись и другим контрактникам.
“Они просто прислали мне логин по почте, после чего я получил доступ к аудиозаписям Cortana. Гипотетически, я мог передать этот логин кому угодно”.
Страшные разговоры
По словам источника, ему довелось много чего наслушаться рамках программы Microsoft. Некоторые записи разговоров пользователей вызывали беспокойство.
“Я прослушивал самые необыкновенные разговоры, в том числе похожие на случаи домашнего насилия”.
Что знали пользователи
Помимо записей с голосового ассистента, контрактники Microsoft прослушивали также звонки между пользователями Skype, которым владеет компания. При этом сами пользователи не подозревали, что их слушают.
Microsoft предупреждала их о том, что может “анализировать аудио” для улучшения своих продуктов, но не уточняла, что будет проигрывать его живым сотрудникам.
Приватность в Китае
Помимо того, что нечистоплотные сотрудники могли преспокойно сохранять записи пользователей для личных целей, есть еще один важный нюанс – а именно то, что работу по анализированию пользовательских аудиозаписей передавали контрактникам из Китая, ведь в этой стране власти могут получить доступ практически к любому персональному контенту.
“Проживая в Китае, работая в Китае ты уже по-умолчанию скомпрометирован практически во всем. Я об этом никогда особо не задумывался”.
Впервые о том, что сотрудники Microsoft имеют доступ к записям разговоров пользователей стало известно в августе 2019 года. Microsoft позже сообщили, что программу по Skype и Cortana закрыли, а оставшихся сотрудников, занимающихся анализом образцов речи, перевели в защищенные офисы за пределами Китая.