Qualquer pessoa que use o Skype autoriza a empresa a ler tudo o que é escrito por essa pessoa. A Heise Security da Alemanha descobriu agora que a subsidiária da Microsoft faz uso desse privilégio na prática. Logo após o envio de URLs HTTPS sobre o serviço de mensagens instantâneas, as URLs recebem uma visita não anunciada da sede da Microsoft em Redmond.
Um leitor informou à Heise Security que ele havia observado um tráfego de rede incomum após uma conversa via Skype. O servidor indicou um ataque potencial de repetição. Descobriu-se então que um endereço IP rastreado pela Microsoft havia acessado as URLs HTTPS anteriormente transmitidas através do Skype. A Heise Security, então, reproduziu os eventos enviando dois testes de URLs HTTPS, uma contendo dados de login e uma apontando para um serviço de compartilhamento de arquivo baseado em nuvem privada. Poucas horas depois do envio das mensagens pelo Skype, eles observaram o seguinte no log do servidor:
65.52.100.214 – – [30/Apr/2013:19:28:32 +0200]
“HEAD /…/login.html?user=tbtest&password=geheim HTTP/1.1?
Eles também receberam visitas de cada uma das URLs HTTPS transmitidas através do Skype a partir de um endereço IP registrado pela Microsoft em Redmond. URLs que apontam para páginas criptografadas frequentemente contêm dados de sessão única ou outras informações confidenciais. URLs HTTP, por outro lado, não foram acessadas. Ao visitar essas páginas, a Microsoft fez uso tanto das informações de login como do URL criado especialmente para um serviço de compartilhamento de arquivo baseado em nuvem privada.
Em resposta a uma pergunta Heise Security, o Skype referiu-se ao fato com uma passagem de sua política de proteção de dados:
“O Skype pode usar a verificação automatizada em mensagens instantâneas e SMS para: (a) identificar spams suspeitos e/ou (b) identificar URLs que tenham sido previamente marcados como spam, fraude ou phishing”.
Um porta-voz da empresa confirmou que as mensagens são verificadas para filtrar spam e sites de phishing. No entanto, esta explicação não parece se encaixar nos fatos. Sites de spam e phishing normalmente não são encontrados em páginas HTTPS. Por outro lado, o Skype deixa os URLs HTTP mais comumente afetados, que não contêm informações sobre domínio, intocados. O Skype também envia solicitações de cabeçalho (head requests) que apenas obtém informações administrativas relativas ao servidor. Para verificar um site de spam ou phishing, seria necessário que o Skype examinasse seu conteúdo.
Em janeiro deste ano, grupos de direitos civis enviaram uma carta aberta à Microsoft questionando a segurança da comunicação via Skype desde a aquisição da empresa. Os grupos por trás da carta, que incluiam a Electronic Frontier Foundation e os “Reporters without Borders“, expressaram a preocupação de que a reestruturação resultante da aquisição do Skype pela Microsoft teria que cumprir as leis norte-americanas sobre espionagem e teria que permitir, portanto, que as agências governamentais e os serviços secretos acessassem comunicações através do Skype.
Em resumo, a Heise UK acredita que, após haver consentido que a Microsoft utilizasse todos os dados transmitidos pelo serviço da forma como bem entendesse, todos os usuários do Skype devem assumir que isso irá realmente acontecer e que a empresa não deve revelar o que exatamente irá fazer com esses dados.
Fonte: Blog oosfero