A Microsoft entrega as chaves do BitLocker ao FBI, expondo os usuários a uma grave falha de privacidade

A Microsoft entregou as chaves de recuperação do BitLocker ao FBI após receber um mandado judicial válido, expondo a privacidade dos usuários do Windows. A divulgação ocorre após uma investigação do FBI em Guam, onde a Microsoft forneceu chaves de criptografia para desbloquear os laptops de três suspeitos em um caso de fraude.

Investigadores federais em Guam acreditavam que os laptops continham informações que comprovariam o envolvimento de indivíduos responsáveis pelo programa de auxílio-desemprego da ilha durante a pandemia de COVID-19 em um esquema de desvio de dinheiro.

A divulgação da chave do Microsoft BitLocker gera preocupações globais com a privacidade 

A Microsoft forneceu as chaves de recuperação aos investigadores do FBI porque os dados estavam protegidos com o BitLocker. Este software protege todos os dados no disco rígido do computador e é ativadomaticem muitos PCs modernos com Windows. Os dados são embaralhados pelo BitLocker, de forma que apenas quem possui a chave consegue decifrá-los.

Embora os usuários possam manter suas chaves em um dispositivo pessoal, a Microsoft recomenda que os clientes do BitLocker armazenem suas chaves em seus servidores para facilitar o gerenciamento. Isso expõe as pessoas ao risco de processos judiciais e mandados de busca e apreensão, mesmo que também signifique que elas possam acessar seus dados caso esqueçam a senha ou bloqueiem o dispositivo após várias tentativas de login malsucedidas.

Até onde se sabe, a Microsoft, empresa sediada em Redmond, Washington, nunca havia fornecido uma chave de criptografia às autoridades policiais até o caso de Guam, quando entregou as chaves aos investigadores. No entanto, a Microsoft confirmou que oferece chaves de recuperação do BitLocker mediante ordem judicial legítima. 

“Embora a recuperação de chaves ofereça conveniência, ela também acarreta o risco de acesso indesejado, portanto, a Microsoft acredita que os clientes estão na melhor posição para decidir… como gerenciar suas chaves.” 

-Charles Chamberlayne, porta-voz da Microsoft.

Chamberlayne acrescentou que a Microsoft recebe cerca de 20 solicitações de chaves BitLocker anualmente. Em muitos desses casos, os clientes não salvaram suas chaves na nuvem, o que impede a empresa de prestar assistência.

No entanto, entregar as chaves às autoridades policiais gerou preocupações com a privacidade. Em uma declaração à Forbes, o senador Ron Wyden afirmou que é "simplesmente irresponsável que empresas de tecnologia lancem produtos de forma que lhes permitam entregar secretamente as chaves de criptografia dos usuários". Ele prosseguiu dizendo que permitir que o ICE (Serviço de Imigração e Alfândega dos EUA) ou outros agentes de Trump roubem as chaves de criptografia de um usuário coloca em risco a segurança pessoal dos usuários e de suas famílias, além de dar a eles acesso a toda a vida digital do usuário.

Esse problema não se limita aos Estados Unidos. Jennifer Granick, conselheira da ACLU para assuntos de vigilância e segurança cibernética, observou que países com histórico questionável em direitos humanos também solicitam dados de gigantes da tecnologia como a Microsoft. Ela acrescentou que armazenar chaves de descriptografia remotamente pode ser muito arriscado.

Um participante do Hacker News afirmou que o problema era que a Microsoft já possuía essas chaves. Se a chave é acessível e de uso gratuito, qual a utilidade da criptografia? O mesmo acontece com o iCloud Email, acrescentou o usuário.

O usuário também argumentou que leis e regulamentos criados pelo homem não podem garantir privacidade porque são passíveis de abuso e alterações. A fonte da privacidade reside namatic, que desconsidera regras e regulamentos.

Governos globais pressionam empresas de tecnologia para que implementem backdoors em seus sistemas de criptografia

As autoridades policiais frequentemente solicitam chaves de criptografia, acesso a backdoors ou outras falhas de segurança de empresas de informática. A Apple tem sido repetidamente solicitada a fornecer acesso a dados criptografados em sua nuvem ou em seus dispositivos. Em outubro do ano passado, o governo do Reino Unido renovou seu confronto com a Apple sobre o acesso a dados de clientes. O governo exigiu um backdoor nos servidores de armazenamento em nuvem da empresa de tecnologia, visando apenas usuários britânicos.

Em um confronto amplamente divulgado com o governo em 2016, a Apple resistiu a uma ordem do FBI para ajudar a desbloquear os telefones dos terroristas que mataram 14 pessoas em San Bernardino, Califórnia. No fim, o FBI conseguiu que umtracdesbloqueasse os iPhones.

Em um relatório separado, divulgado em abril do ano passado, legisladores da Flórida aprovaram um projeto de lei que obrigaria as empresas de mídia social a fornecerem aos agentes da lei acesso às contas dos usuários por meio de brechas de criptografia.

Se você está lendo isso, já está na frente. Acompanhe nossa newsletter .