Ende 2019 wurde bekannt, dass Microsoft sowohl Fremdfirmen als auch Mitarbeitern erlaubt hat, Sprachaufzeichnungen der Benutzer von Cortana und Skype anzuhören und zu transkribieren. Obwohl diese Nachricht für die Datenschutzaktivisten beunruhigend war, machte Microsoft damals klar, dass man mit diesem Vorgehen weiterfahren werden würde.
Wie "The Guardian" nun
berichtet, soll Microsoft dabei "keine Sicherheitsmassnahmen" implementiert haben, auch wenn sich die externen Arbeitnehmer in China befanden. Die Aufnahmen bestanden aus Clips von "absichtlich und versehentlich herbeigeführten Aktivierungen" des Cortana-Assistenten (der beim Hören des Satzes "Hey Cortana" aktiviert werden soll), sowie aus Skype-Gesprächen. Laut "Guardian" erhielten die Arbeiter, die mit der Transkription und Überprüfung dieser Clips beauftragt waren, um Microsofts Spracherkennungstechnologie zu verbessern, keine Cybersicherheitsunterstützung, um die Aufnahmen vor Diebstahl oder Beschlagnahmung durch Regierungen zu schützen. Ein Auftragnehmer des Projekts, der in Peking tätig war, teilte der Zeitung mit, dass neue Mitarbeiter, die Zugang zu den Aufzeichnungen erhielten, aus Gründen der Bequemlichkeit Konten mit demselben Kennwort erstellen sollten und ohne grundlegende Überprüfungen eingestellt wurden.
"Es gab keine Sicherheitsmassnahmen", so der Auftragnehmer gegenüber "The Guardian". "Ich kann mich nicht einmal daran erinnern, dass sie bei mir ein KYC (know your customer) gemacht haben. Ich glaube, sie haben einfach meine chinesischen Bankdaten genommen."
Dies allein wäre noch nicht unbedingt Grund genug zur Sorge, vorausgesetzt, die weiteren Sicherheitspraktiken des Unternehmens hätten höheren Sicherheitsanforderungen entsprochen. Dem war gemäss der Quelle allerdings nicht so. So sollen Anmeldeinformationen sowie Links für den Zugriff auf die Sprachaufzeichnungen im Klartext über E-Mail versendet worden sein. Sicherheitsmethoden wie Zwei-Faktor-Authentifizierung seien nicht erforderlich gewesen, und jeder eingestellte Mitarbeiter hätte das gleiche Passwort benutzt, um sich anzumelden. Microsoft arbeitet mittlerweile nicht mehr mit der entsprechenden Transkriptionsfirma oder anderen Firmen aus China zusammen.
