Il fatto che nella licenza d'uso di Skype si legittimi Microsoft a leggere tutto quello che si scrive è un fatto risaputo. Quello che si sa di meno, e che è stato documentato dalla filiale tedesca di Heise Security, è che la società di Redmond lo fa davvero! L'intrusione, a dir poco eclatante, al momento pare che venga attuata da Microsoft dopo l'invio di URL https durante una normale chat. Tali URL ricevono "una visita" non annunciata dal quartier generale di Microsoft a Redmond.
Un lettore ha informato di questa “anomalia” Heise Security dopo aver osservato del traffico di rete insolito a seguito di una conversazione in chat su Skype. Il sistema di sicurezza aziendale ha infatti indicato una potenziale intrusione mentre chattava e si è scoperto che un indirizzo IP, usato da Microsoft, era andato a interrogare degli URL HTTPS precedentemente trasmessi con Skype. Heise Security ha poi “riprodotto” l’evento con l'invio di due URL HTTPS di prova, uno contenente le informazioni di accesso e uno che puntava a un servizio di file-sharing basato su cloud private. Poche ore dopo i loro messaggi trasmessi su Skype, hanno osservato il seguente messaggio nel registro del server:
65.52.100.214 - [30/Apr/2013: 19:28:32 +0200]
".? HEAD / .. / login.html user = tbtest & password = geheim HTTP/1.1"
L'accesso proviene da sistemi che chiaramente appartengono a Microsoft.
In effetti, ci sono proprio pochi dubbi su chi sia il proprietario delle macchine che hanno interrogato gli indirizzi inviati via chat.
Anche loro avevano ricevuto visite a ciascuno degli URL HTTPS trasmessi su Skype da un indirizzo IP registrato a Redmond da Microsoft. Gli URL che puntano a pagine web criptate spesso contengono dati di sessione univoci o altre informazioni riservate. URL HTTP, al contrario, non sono stati controllati. Nella visita a queste pagine, Microsoft ha utilizzato sia le informazioni di login sia l'URL appositamente creato per un servizio di condivisione di file basato su cloud private.
Heise Security ha chiesto chiarimenti a Skype in riferimento alla loro politica di protezione dei dati e la risposta, non proprio esaustiva” è stata quella di riportare un pezzo della licenza d'uso: "Skype può utilizzare la scansione automatizzata all'interno di messaggi istantanei e SMS per identificare i sospetti spam e / o individuare gli URL che sono stati precedentemente segnalati come spam, frodi o link di phishing".
Un portavoce della società ha confermato che Microsoft analizza i messaggi per filtrare lo spam e siti di phishing. Questa spiegazione non sembra adattarsi ai fatti, però. Siti di spam e phishing non si trovano di solito nelle pagine HTTPS. Per contro, Skype non controlla gli URL http, che sono molto più usati per le pratiche sopra descritte. Il servizio di Microsoft, infine, si limita a inviare "head requests" che servono per recuperare le informazioni amministrative relative al server.
Per controllare se un sito sia veramente dedito allo spam o al phishing, Skype avrebbe bisogno di esaminarne il contenuto, non le credenziali amministrative. A gennaio, gruppi per i diritti civili ha inviato una lettera aperta a Microsoft sapere quale politica verrà attuata riguardo la sicurezza di comunicazione tramite Skype dopo l'acquisizione, esprimendo la loro preoccupazione per il fatto che Skype, in seguito al cambio di proprietà, avrebbe dovuto rispettare le leggi degli Stati Uniti sulle intercettazioni e dovrebbe pertanto consentire alle agenzie governative e servizi segreti di accedere alle comunicazioni.
In sintesi, Heise Security ritiene che, dopo aver acconsentito a Microsoft di utilizzare tutti i dati trasmessi attraverso il servizio, praticamente l'azienda fa un po' quello che gli pare delle conversazioni, magari anche registrandole e tenendole gelosamente custodite su qualche server a Redmond. Quindi, tutti gli utenti Skype, dovrebbero presumere che quanto descritto avvenga effettivamente, sapendo inoltre che Microsoft non ha nessuna intenzione di rivelare che cosa fa esattamente con questi dati. Alla faccia della privacy.