В Microsoft программа по распознаванию речи из Skype и Cortana годами велась без каких-либо мер безопасности. Контрактные сотрудники, преимущественно из Китая, получали доступ к записям звонков пользователей с потенциально уязвимой информацией и могли прослушивать их со своих личных устройств. Об этом The Guardian сообщил бывший подрядчик компании из Гонконга.

Никакой кибербезопасности

Записи команд голосовому ассистенту, отобранные случайным образом, а также телефонные переговоры пользователей по Skype передавались сотрудникам в обработку через веб-приложение для Google Chrome на их личные устройства.

При этом компания не предоставляла никаких механизмов по защите этих устройств от взлома или кибершпионажа, чтобы как-то защитить уязвимые данные.

Сотрудников не проверяли

Какая-либо серьезная проверка компанией сотрудников, в руки которых передавались записи разговоров, практически отсутствовала – утверждает источник.

“Не было никаких мер безопасности, я даже не помню, чтобы они делали мне нормальную KYC проверку [“знай своего клиента”, идентификация контрагента перед проведением финансовых и других уязвимых операций – ред.]. Думаю, они просто взяли данные с моего китайского банковского счета”, – рассказал он.

Поначалу сотрудник работал в офисе, но потом ему разрешили делать проверку из дома в Гонконге.

“Я анализировал британский английский (потому что я британец), для этого я прослушивал людей, чьи устройства Microsoft были настроены на британский английский, и у меня был доступ ко всему этому с моего домашнего ноутбука с простым логином и паролем”.

Один логин на всех

Логин и пароль ему прислали в незашифрованном виде на email. Те же самые учетные данные для удобства предоставлялись и другим контрактникам.

“Они просто прислали мне логин по почте, после чего я получил доступ к аудиозаписям Cortana. Гипотетически, я мог передать этот логин кому угодно”.

Страшные разговоры

По словам источника, ему довелось много чего наслушаться рамках программы Microsoft. Некоторые записи разговоров пользователей вызывали беспокойство.

“Я прослушивал самые необыкновенные разговоры, в том числе похожие на случаи домашнего насилия”.

Что знали пользователи

Помимо записей с голосового ассистента, контрактники Microsoft прослушивали также звонки между пользователями Skype, которым владеет компания. При этом сами пользователи не подозревали, что их слушают.

Microsoft предупреждала их о том, что может “анализировать аудио” для улучшения своих продуктов, но не уточняла, что будет проигрывать его живым сотрудникам.

Приватность в Китае

Помимо того, что нечистоплотные сотрудники могли преспокойно сохранять записи пользователей для личных целей, есть еще один важный нюанс – а именно то, что работу по анализированию пользовательских аудиозаписей передавали контрактникам из Китая, ведь в этой стране власти могут получить доступ практически к любому персональному контенту.

“Проживая в Китае, работая в Китае ты уже по-умолчанию скомпрометирован практически во всем. Я об этом никогда особо не задумывался”.

Впервые о том, что сотрудники Microsoft имеют доступ к записям разговоров пользователей стало известно в августе 2019 года. Microsoft позже сообщили, что программу по Skype и Cortana закрыли, а оставшихся сотрудников, занимающихся анализом образцов речи, перевели в защищенные офисы за пределами Китая.