Contas de e-mail oferecidas pela Microsoft foram hackeadas e a empresa não avisou

A Microsoft sabia que espiões chineses hackearam usuários do Hotmail desde pelo menos 2009 e não avisou isso aos donos das contas, mesmo anos depois.

Segundo a Reuters, a Microsoft sabia que espiões chineses hackearam usuários do Hotmail desde pelo menos 2009 e não avisou isso aos donos das contas, mesmo anos depois. Agora, a Microsoft concordou em alterar a sua política e alertar usuários sobre invasões patrocinadas por governos.

Da Reuters:

Especialistas da Microsoft concluíram há vários anos que autoridades chinesas tinham invadido mais de mil contas de e-mail do Hotmail, tendo como alvo líderes internacionais de minorias tibetanas e uigures da China – mas decidiu não contar às vítimas, permitindo que os hackers continuassem a sua campanha, de acordo com ex-funcionários da empresa.

Alguns dos ataques vieram de uma rede chinesa chamada AS4808, associada a grandes campanhas de espionagem. A Microsoft não questionou que a maioria dos ataques veio da China, mas disse que alguns vieram de outros países, sem revelar quais. Fontes dizem à Reuters que a empresa estava com “medo de irritar o governo chinês”, e com “medo de represálias da China”.

Em vez de dizer às pessoas afetadas o que aconteceu, a Microsoft apenas as fez mudar suas senhas, sem explicar que elas foram alvos de ciberespionagem:

Depois de um vigoroso debate interno em 2011 que chegou a Scott Charney, principal executivo da Microsoft em segurança, e de Brad Smith, seu assessor-geral e agora vice-presidente, a empresa decidiu não alertar os usuários de que claramente algo estava errado, disseram os ex-funcionários. Em vez disso, o Hotmail simplesmente forçou os usuários a escolher novas senhas sem revelar o motivo.

A Microsoft ofereceu ao Gizmodo a seguinte declaração:

Nosso foco está em ajudar os clientes a manter as informações pessoais seguras e privadas. Nossa principal preocupação era garantir que os nossos clientes rapidamente tomassem medidas práticas para proteger suas contas, incluindo uma redefinição forçada de senha.

Nós pesamos vários fatores na resposta a este incidente, incluindo o fato de que nem a Microsoft nem o governo dos EUA foram capazes de identificar a origem dos ataques, que não veio de um único país. Nós também consideramos o impacto potencial sobre qualquer investigação subsequente e as medidas em curso que estávamos tomando para evitar possíveis ataques futuros.

Após uma série de pedidos de comentário da Reuters, a Microsoft disse que iria alterar a sua política e, no futuro, contar a seus clientes de e-mail quando suspeitasse de tentativas de hacking por governos.

Facebook e Yahoo atualizaram suas políticas recentemente para informar aos usuários quando eles forem alvos de ataques patrocinados por governos; o Google tem esta política desde 2012.

Não é a primeira vez que vemos a Microsoft em uma polêmica envolvendo e-mails e privacidade. Em 2014, a empresa confirmou que leu e-mails em uma conta privada do Hotmail, a fim de identificar um funcionário que vazou segredos do Windows 8. Eles disseram, inicialmente, que podiam fazer isso por ser algo previsto nos termos de serviço.

Após a repercussão do caso, a Microsoft voltou atrás: o executivo Brad Smith disse na época que, quando ocorrerem investigações, “não vamos nós mesmos inspecionar o conteúdo privado de um cliente. Ao invés disso, vamos recorrer às autoridades se forem necessárias novas medidas.”

[Reuters]

Foto por Ted S. Warren/AP

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas