Хакеры из "Сирийской электронной армии" — группировки, которая взломала уже половину интернета, — снова отличились. На этот раз им удалось заполучить в свое распоряжение документы, которые прямо указывают на то, что Microsoft выставляет секретному подразделению ФБР счета на сотни тысяч долларов. И это плата за доступ к данным миллионов пользователей.
Украденные документы (счета и письма электронной почты) свидетелсьтвуют о довольно тесном сотрудничестве между департаментом Global Criminal Compliance корпорации и Отделом по перехвату цифровых данных ФБР (Digital Intercept Technology Unit, DITU). Кроме того, украденная информация проливает свет и на финансовый аспект этого сотрудничества.
К примеру, в декабре 2012 года, Microsoft отправила в DITU по электронной почте счет на $145 100 — по $100 за один запрос, сделанный ФБР. В августе 2013 был выслан похожий счет, на этот раз на $352 200 — цена подросла до $200 за запрос. Последний из украденных документов датирован ноябрём 2013 года и, согласно этому счету, "федералы" должны были заплатить Microsoft $281 000.
Журналисты, заинтересовавшиеся темой,
обратились за комментариями к экспертам и получили довольно удивительные ответы — никто из профессионалов сферы безопасности не стал осуждать корпорацию за сотрудничество со спецслужбой. Более того, по их мнению, в данном случае Microsoft лишь воспользовалась своим законным правом на компенсацию расходов, а "утекшие" в сеть документы лишь свидетельствуют о том, как часто государство обращается к частным компаниям за информацией об их клиентах. В некоторых счетах, отправленных в DITU, содержались данные о сотнях запросов в месяц.
Директор по технологям в ACLU Кристофер Согоян (Christopher Soghoian) считает, что ведение подобной бухгалтерии даже позволяет лучше контролировать поведение государственных органов и вести учет их активности в плане сбора данных о пользователях.
Адвокат Electronic Frontier Foundation Нэйт Кардосо также согласен с этим мнением и считает, что граждане имеют право знать, сколько, по сути, их денег ФБР тратит на получение данных о них же самих.
Налогоплательщики должны иметь полное представление о том, как много денег тратится на подобные вещи.
Отдел по перехвату цифровых данных (DITU) не столь известен, как оскандалившееся благодаря Эдварду Сноудену на весь мир АНБ, но, по увереням экспертов, суть этих двух организаций примерно одинаковая.
Кстати, в слайдах Сноудена о программе PRISM фигурировал и DITU:
Подтверждения подлинности украденных сирийскими хакерами документов нет — что неудивительно, — но и никаких признаков фальсификаций эксперты также не видят. Тот же Кардосо считает, что в случае подделки можно было бы сфабриковать нечто, что вызвало бы куда больший резонанс.
Пока я не вижу никаких признаков фальсификации. Да и, честно сказать, если бы я хотел устроить такой скандал, то подделал бы какие-то более сенсационные документы.
До момента утечки документов, "Сирийская электронная армия" дважды атаковала Microsoft, применяя фишинговые схемы. В январе хакерам удалось взломать корпоративный блог и аккаунт в Twitter. Тогда же представитель группировки в разговоре с The Verge намекал на то, что эти атаки являются частью более крупного плана.
Microsoft ранее признала тот факт, что злоумышленникам удалось получить несанкционированный доступ к почтовым ящикам некоторых сотрудников, в результате чего были похищены некие документы, связанные с запросами правоохранительных органов.
Журналисты обратились за комментариями в ФБР, но там их отправили в Microsoft с формулировкой из разряда "данные были украдены у них, вот там и спрашивайте", а представитель корпорации отделался общими словами о том, что по закону компании имеют право на компенсацию издержек, связанных с оказанием содействия государственным органам.
Несмотря на то, что ситуация, когда спецслужбы платят за доступ к пользовательским данным самим компаниям, выглядит довольно странно, на самом деле это вовсе не является чем-то из ряда вон выходящим. Например, источники в правительстве
подтвердили изданию New York Times тот факт, что ЦРУ платит провайдеру AT&T больше $10 млн в год за доступ к записям телефонных разговоров. Guardian со ссылкой на документы, предоставленные Эдвардом Сноуденом, заявляла о том, что АНБ уплатила Microsoft и другим компаниям миллионы долларов за доступ к данным их пользователей.
В утекших счетах, выставляемых ФБР, и впрямь не содержится никаких намеков на незаконные операции — все запросы направлены в соответствии с действующим законодательством США. Судя по комментариям экспертов, и Microsoft нельзя обвинить в выставлении каких-то неоправданно завышенных счетов — цены на "услуги" меняются в зависимости от типа запроса, но, в целом, являются вполне адекватными.
По мнению профессионалов, главное во всей ситуации со взломом — это то, как легко сирийским хакерам удалось получить доступ к такой деликатной информации. Да и сама схема документооборота по электронной почте без всякого шифрования выставляет не в лучшем свете специалистов Microsoft и ФБР.