Ex-contratado revela falha de segurança em transcrições do Skype com a Cortana

O sistema de transcrição de áudio do Skype com a Cortana pode revelar uma falha grave de segurança da Microsoft. O The Guardian conversou com um ex-funcionário contratado em regime terceirizado para revisar traduções automáticas da plataforma, que relata práticas de falha de segurança básica ao se tratarem de informações pessoais e sensíveis de usuários.

Segundo a fonte que não quis ser identificada, ele era responsável por revisar textos traduzidos para inglês em ativações da Cortana e em ligações do Skype, da sua casa, na China. Em entrevista, o ex-funcionário relata que “não havia medidas de segurança”. Ele fazia tudo pelo próprio laptop, com acesso a gravações de usuários através de um web app do Google Chrome.

Para entrar no sistema, ele recebia um e-mail com link, usuário e senha, sem que houvesse nenhum esquema de segurança a mais. Ainda, ele era estimulado a usar mais de uma conta Microsoft com a mesma senha para facilitar o gerenciamento. Assim, ele argumenta que tinha acesso a dados sensíveis de uma rede chinesa, usado um laptop não seguro (no caso, o seu pessoal), tendo em mãos link, usuário e senha que poderia passar para qualquer outro indivíduo que quisesse.

Também, sem monitoramento, ele relata que era possível replicar as gravações do site sem sistema de segurança. “Escutei todo tipo de conversas incomuns, incluindo o que poderia ser violência doméstica. Isso parece loucura agora, mas depois de me educar sobre segurança, lembro que eles me deram uma URL, usuários e senha por e-mail”, recorda.

O caso ainda se agrava pelo fato de que o ex-funcionário está na China, já que há o risco de o governo ter acesso a estes dados. “Morando na China, trabalhando na China, você já está comprometido com quase tudo”, critica.

O The Guardian também relembra uma matéria da Vice que já denunciava que o serviço de revisão das traduções da Cortana e Skype eram feitos por humanos, em regime de contrato terceirizado. Contudo, isso não era bem claro na época, quando o Skype somente dizia que poderia haver “análise de áudio”, sem expor que isso significava que uma pessoa estaria ouvindo a conversa.

Após estas acusações, a Microsoft disse que estava ciente dos problemas e mudou o sistema de verificação usando somente funcionários próprios para o serviço. Também informou que a revisão é feita em “escritórios seguros”, sendo que, nenhum, fica na China. A companhia informou que revisa apenas alguns fragmentos de conversas de um número muito reduzido de clientes para melhorar o sistema de transcrição. “Às vezes, integramos empresas parceiras nisso”, conta a companhia em comunicado ao The Guardian. Conforme a nota ainda, tais fragmentos tipicamente não passam de 10 segundos, sendo que os revisores não têm acesso a conversas mais longas.

Sobre informar aos usuários sobre esta revisão, a empresa disse que mudou suas diretrizes. “Atualizamos nosso comunicado de privacidade para ser mais claro sobre este serviço e, desde então, movemos as estas revisões para escritórios seguros em alguns poucos países. Vamos continuar a tomar medidas para dar mais transparência a nossos clientes e controle sobre como nós gerenciamos seus dados”, finaliza a Microsoft.

Fonte: The Guardian