Technical Support Specialist — Microsoft/VMware
0,1
рейтинг
22 марта 2014 в 19:48

Разработка → Как одним судебным преследованием Microsoft разрушила веру клиентов в неприкосновенность своих данных в «облачных» сервисах перевод



На днях была опубликована новость о том, что бывший сотрудник Microsoft Алексей Кибкало (akibkalo) был арестован за хищение и разглашение торговых секретов Microsoft. Это событие, несомненно, стало новостью дня, и внезапно обнаружило то, что Microsoft занималась поиском «неопровержимых» доказательств против Алексея в чужих ящиках службы Hotmail/Outlook.

С одной стороны — ничего удивительного, ведь условия предоставления сервиса гласят:

«Вы соглашаетесь с тем, что корпорация Майкрософт вправе получать доступ, разглашать или хранить сведения, связанные с использованием вами служб, включая (без ограничения) ваши персональные данные и содержимое либо сведения, которые корпорация Майкрософт получает о вас вследствие использования вами служб (например, IP-адрес или другие сведения от третьих лиц), если у корпорации Майкрософт имеются основания полагать, что такие действия необходимы для
(а) соблюдения требований действующего законодательства или надлежащего реагирования на запросы судебных органов;
(б) обеспечения выполнения настоящего соглашения или защиты прав или собственности корпорации Майкрософт или ее пользователей либо (в) для обеспечения личной безопасности или предотвращения угрозы здоровью других людей.»
windows.microsoft.com/ru-ru/windows-live/microsoft-services-agreement


Основываясь на этом соглашении, Microsoft с легкостью может искать любые необходимые данные по всем почтовым ящикам в своем облаке, что и было наглядно продемонстрировано.

Под давлением негодующей общественности, Microsoft пришлось объявить, что компания все же пересмотрит свою политику в отношении частных данных, хранимых в облачной почтовой службе Hotmail/Outlook. Джон Фрэнк, заместитель главы юридической службы и вице-президент по правовым вопросам, сделал официальное заявление в защиту действий компании, и конечно же пообещал «улучшить процессы и повысить прозрачность».
«Неприкосновенность данных наших клиентов невероятно важна для нас», — заявил Джон.


Конечно, уж куда проще извиниться, чем спросить разрешение.

Лично у меня нет претензий к тому, как Microsoft поступила в данной ситуации. Разумеется у них есть право шарить по своим собственным серверам. Ведь «Условия предоставления сервиса» дают им это разрешение.

ТЕМ НЕ МЕНЕЕ

Эта история должна стать достаточным доказательством для тех компаний, которые решили перенести свои данные в облако, не смотря на все россказни «торговцев облаками» о неприкосновенности частных данных. Стоит вам заключить договор, и все ваши данные, что находятся на серверах облачного провайдера, теперь принадлежат облачному провайдеру.

Провайдеры облачных сервисов говорят что-то вроде «это ваши данные, мы просто храним их для вас» чтобы втереться в доверие и придать ложное чувство защищенности. На самом деле это просто чепуха.

Лучше всего на эту тему высказался в августе 2012 года Стив Возняк:
«В облаке вы уже не владеете ничем. И сами подписались на это. Чем больше данных мы передаём в веб, в облака, тем меньше контроля над ними остаётся у нас самих».


Так же Стив сказал:
«Я серьезно обеспокоен тем, как всё перемещается в облака. Мне кажется, что скоро это превратится в кошмар. Я опасаюсь самых ужасающих последствий уже в ближайшие пять лет».


Вот так одним, несомненно законным шагом, Microsoft сама доказала точку зрения, что компании, хранящие данные в облаках, невольно теряют свою собственность. Проблема касается не только службы Hotmail/Outlook. Это относится ко всем облачным службам Microsoft (Windows Azure, Xbox Live, OneDrive, и т.д.). И это просто ужасно.

Например, для Facebook это не проблема. Люди сами, добровольно расстаются со своей частной жизнью каждый день. Но для бизнеса, которому необходимо сохранять контроль на тем, кому принадлежат их данные, это абсолютно неприемлемо.

По моему убеждению, нет ничего удивительного в том, как Microsoft повела себя. Ведь компания руководствуется своим юридически безупречным правом «защищать безопасность сотрудников Microsoft, ее клиентов и общественности». Так что, однажды решив хранить данные в облаке, внимательно ознакомьтесь с «Условиями по предоставлению сервиса», особенно в части неприкосновенности данных, политике их сохранения и возможности юридического преследования. И не рассчитывайте на то, что для всех сервисов «Условия» будут одинаковы.

Доверие к политике Microsoft в отношении неприкосновенности данных, хранящихся в Hotmail/Outlook попало под серьезный удар, но отрадно слышать, что политика будет улучшена, и будет вызывать меньше вопросов, если в будущем придется прибегнуть к подобным действиям.
Перевод: Rod Trent
Михаил @gotch
карма
30,2
рейтинг 0,1
Technical Support Specialist — Microsoft/VMware
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (78)

  • +32
    Хотелось бы уточнить конкретно по этому моменту
    Разумеется у них есть право шарить по своим собственным серверам. Ведь «Условия предоставления сервиса» дают им это разрешение.

    Не разумеется. Условия договора не могут быть выше закона. А законы о частной переписке и коммерческой тайне и так далее — в ряде стран весьма строги.
    Упрощенно — работники почты (облачного сервиса для пересылки почты между адресатами) не имеют права читать письма (даже если что-то понапишут там в договоре).
    • +8
      Ну да, в той же Франции на мелкомягких сейчас полетят шишки. Ктонить еще коллективный иск подаст.

      Доигрались.
      • 0
        Если шишки полетят, то только в сторону филиалов. Так закон бессилен в отношении услуг в других странах (только если это не касается налогов, если налоги то и в другие страны могут попытаться влезть).
        • +1
          Суд Франции, например, может запретить деятельность MS на территории Франции, если она нарушает французские законы. И конкретно в случае с Францией для MS это серьезно, это не Андорра какая-нибудь или Лихтенштейн.
    • +3
      В целом я разделяю вашу точку зрения, но честно не знаю, какую юридическую силу имеют подобные соглашения. Ведь это распространенная практика, контроль почты, как в зарубежных, так и в российских компаниях.

      Все усугубляет и тот факт, что Microsoft — международная компания, а ее клиенты — граждане сотен государств. И по их ящикам был произведен поиск, а корреспонденция с Алексеем — скопирована.
      • 0
        Ведь это распространенная практика, контроль почты, как в зарубежных, так и в российских компаниях.

        Кхм, в ящиках сотрудников (если почта проходит через корпоративную сеть или хранится там). Очевидно в связи с договором с сотрудником, с трудовым законодательством.

        Но не в чужих же!
        • +1
          А кто сказал что они влезли в чужой ящик? Они скопировали ПЕРЕПИСКУ. Ведь она полностью содержалась в подконтрольном им ящике. Все отправленные и полученные сообщения переписки содержались в ящике сотрудника.
          • 0
            Ну, в статье написано именно так:
            Microsoft занималась поиском «неопровержимых» доказательств против Алексея в чужих ящиках службы Hotmail/Outlook.
    • +5
      Более того, если доказательства вины получены незаконным путем, они не могут быть приняты судом во внимание.
      • 0
        Это только если прокурор ордер задним числом не выдаст<смайл по вкусу>
    • +1
      Вы ошибаетесь — в США у законов нет преимущества перед договорами, в том смысле, что любой человек например может снять или наложить на себя дополнительные обязательства и это не будет мошенничеством.

      Например у них регулярно применяется «no compete» запрещающий работнику переходить на работу в компании конкуренты (т.е. во многих случаях закрыт весь сектор в котором ты работаешь), что немыслимо в России так как у нас право работать так, как считаешь нужным, отнять через договор нельзя.
      • +5
        Вы ошибаетесь — в США у законов нет преимущества перед договорами, в том смысле, что любой человек например может снять или наложить на себя дополнительные обязательства и это не будет мошенничеством.
        У законов преимущества над договорами есть во всех странах. В этом и смысл законов.
        Незаконный пункт, разумеется, как мошенничество расценен не будет. Но будет признан ничтожным и использован быть не может.
      • +1
        Знакомый адвокат очень успешно «укатывал» такие договора в суде (штат Пенсильвания, если чо). Правда это обходилось обиженному работнику в очень жирный upfront payment.
      • –1
        > что немыслимо в России так как у нас право работать так, как считаешь нужным, отнять через договор нельзя.

        Т.е., чисто гипотетически, пункт о запрете работы в той же самой сфере в течение 2-х лет в моем ТД — незаконен?
        • +1
          В РФ Вы не только можете развалить весь ТД, но и устроить за такой пункт работодателю огромную попоболь.

          P.S.:
          Проконсультируйтесь с парой юристов.
          • –1
            Ну, во-первых, это все «чисто гипотетически», т.к. разглашать детали реально подписанных документов «неопределенному кругу лиц» не рекомендуется, и, во-вторых, уходить оттуда я пока не планирую.
            • 0
              Само собой.
              Но чисто гипотетически и теоретически человек с таким договором уходя может хлопнуть дверью так, что стекла повышибает (особенно если коллеги гипотетического человека заключили похожий договор, в котором есть похожие пункты, и прознают о спорной природе такого договора)
              • 0
                Исторически так сложилось, что договорное право в России не было развито, потому что не было рыночных отношений.

                В административно-командной системе не то что договоров, не было свободы. Когда в начале 90-х появился рынок, культура договорных отношений начала только-только формироваться.

                В те времена законодатели и законоприменятели очень строго подходили к тексту договора, чтобы не допустить злоупотребления. Поэтому в практике господствовала концепция «закон регулирует все».

                Сегодня мы в России уже цивилизованные, читать умеем, юристов привлекать научились. Новый Гражданский кодекс дает куда больше свободы для маневров и постепенно входит в обиход концепция «если иное не указано в договоре».

                Это правильно и нужно при одном но: «должна быть конкуренция и должен быть выбор». Только в правильной и живой рыночной экономике будет работать свобода договора.
                • +1
                  Мне сдается что юристов нормальных привлекать по-прежнему не умеют очень многие компании и большинство работников (что и наблюдаем несколькими постами выше).

                  Собственно, об NCA в РФ уже обсуждалось на идейно близком ресурсе
                  toster.ru/q/25133

                  еще тут чуть свежее pravoved.ru/question/313097/
    • –1
      В ЕС (и если я не ошибаюсь, то и в США) законы о торговле имеют в конце почти каждого параграфа формулировку «Если в договоре не сказано иначе». Так что получается что условия договора могут (и в большинстве случаев) находятся выше закона. Но тут понятно что договор не может на вас класть обязательства исполнение которых является противозаконным.

      Что касается законов о частной переписке, то после того как вы разрешите кому-то читать ваши письма то эти законы перестают действовать. Так что с юридической точки зрения МС чисты; пользователи им сами разрешают читать их письма.

      Так что единственное что остается это моральная сторона вопроса.
    • 0
      дубль
  • +13
    Частные облака — наше всё. Тот же owncloud.
    • +5
      Облако становится осмысленным, когда используются тысячи серверов во многих датацентрах, и всякие поломки и аварии — рутинный процесс. Далеко не всем нужны такие объемы. А надежности и легкого масштабирования хочется всем.
    • –1
      нет, слишком тормозной
      • 0
        Вы просто не умеете его готовить.
        • –1
          когда я пытался синхронизировать через него коллекцию фото, а это около 5к файлов
          мой комп уходил в 100% загрузку на несколько часов, а это один из последних корок дуба
          некоторые его советуют ставить на rpi, что вообще смешно
          а после нескольких добавлений фоток они начинали дублироваться
          для синхронизации чего-то маленького, типа контактов вполне подходит, но как замену, например, дропбоксу — точно нет
          • 0
            Я не знаю на какой версии Вы это пробовали и какой комп у Вас уходил на 100% загрузку на несколько часов, но у меня последние версии пятой ветки прекрасно работали на vds (одно ядро, 512 оперативы, nginx+php5.5(opcache)+apcu) синхронизируемся втроем, общее количество файлов за 10к, без учета контактов, закладок и прочего. Народ слушает через него залитую музыку, включено шифрование на стороне сервера и LA не доходит и до единички. Так что 100% загрузка — это однозначно проблема в конфигурации сервера. Ну или если это на клиенте — кривой клиент. Так что при прямых руках и нормальных бэкапах (а то и размазывании на несколько серверов), свой owncloud — это однозначно лучше вариант, чем любые существующие облачные решения. А учитывая нововведения в шестой версии, возможно, еще и замена google docs.
  • –1
    в своем облаке

    Т.е. они что-то в своем облаке нашли и отдали как доказательства? А ничего, что MS в своем облаке может делать что угодно, включая подделку сообщений?
    • 0
      Т.е. они что-то в своем облаке нашли и отдали как доказательства?


      habrahabr.ru/post/216575/
    • 0
      Де-юре есть ещё куча законов и EULA, но де-факто так и есть, как вы сказали :)
  • +5
    Поэтому на всех облаках (Dropbox, GDrive, Яндекс и т.д.) всё храню только в зашифрованном виде
    • +1
      а почему вы думаете, что в том софте, который вы используете нет лазеек?
      • 0
        Даже если есть, то кто вам сказал, что они есть именно у Dropbox, Google или Яндекса?
        Если они есть — то у разработчиков соответствующего ПО.

        Кстати: news.techworld.com/security/3228701/fbi-hackers-fail-to-crack-truecrypt/
      • +4
        Это не значит, что шифровать не следует.
        В любом случае, я усложняю доступ к этой информации.
        • 0
          Вряд ли это Вас спасет от варианта, когда у оппонента это все не будет шифроваться, в случае переписки.
      • 0
        Только шифр вернама, с криптоблокнотами, сгенерированными на самодельном ГСЧ, на основе вручную добытого из детекторов дыма плутония.
        • +1
          Надо очень постараться, чтобы из Америция (который в детекторах) получился плутоний…

          А вообще ГСЧ на детекторах дыма — вполне реальны. Даже счетчик Гейгера не особо нужен.
          www.inventgeek.com/Projects/alpharad/OverView.aspx

          Хотя старый добрый счетчик с военной кафедры (с тестово-калибровочным кусочком радиоактивного материала в комплекте) конечно тоже очень годен.
          • 0
            В некторых детекторах использовался плутоний.
            • 0
              Офигеть.

              Хочухочухочухочу
    • 0
      Вдруг посадят
  • +2
    >> «улучшить процессы и повысить прозрачность»
    Прозрачность чужих ящиков, надо полагать.
  • +44
    Теперь кампания Scroogled от Майкрософт выглядит очень лицемерно
    • +10
      Лицемерно, без всякого сомнения, но в тоже время до сих пор правдиво. Достаточно добавить «we only do so to prosecute you».
      • +1
        Тем не менее если выбирать между тем, чтобы по моим письмам автоматически формировалась реклама и тем, чтобы по ним был возможен поиск сторонними людьми, я бы выбрал первое.
        • +6
          Я думаю если гуглу как следует «наступить на яйца», они тоже таки в ручном режиме заглянуть.
          • +4
            Проблема на самом деле не столько в том, что это делает гугл (или МС, или эппл, или еще кто-то) как официальное лицо. Проблема в том, что доступ к облачным данным есть у конкретных админов. И вот они уже вполне могут пользоваться им в личных целях.
          • +2
            Они уже давно, пишет основатель TechCrunch
        • +4
          Я-бы не тешил себя надеждами о том что поиск невозможен. Я вот, исходя из собственного опыта работы, не надеюсь даже хоть на толику совести любого сервиса на чьих серверах находятся мои личные данные.
          • +1
            Я и не тешу. Я про рекламу Микрософта. Они фокусируются на том, что гугл собирает рекламную статистику, а сами спалились на поиске. В этом контексте.
  • +7
    Вообще то что мелкомягкие сделали (если верить офи-версии событий) ради такой мелочи как «покарать обидчика» (то есть сиречь мстя руководства) — характерный пример бросания камней в стеклянном доме.
  • 0
    Интересно, была ли просмотрена так же переписка и клиентов Office365 с Алексеем?
    • +3
      Конечно.

      Вдруг он им тоже ченить слил.
  • +4
    >> Microsoft разрушила веру клиентов в неприкосновенность своих данных в «облачных» сервисах

    Покажите мне, пожалуйста, этих наивных клиентов, у которых была эта вера? И дело не в MS, любой вендор (google, amazon и т.д.) поступил бы точно также.
    • +1
      Ну не знаю, я считаю что даже если клауд твой и злоумышленник твой, корректнее через «органы». А вообще история чудная
  • 0
    Так они может предоставили эти данные по запросу спецслужб? Оно может было сделано законным путем.
    • +4
      наоборот

      они сначала нахомячили данные, потом обратились в ФБР
  • +2
    По моему вполне очевидно что если что то хранишь на чужих серверах в незашифрованном виде то оно доступно хозяевам сервера, а вот воспользуются они этим доступом или нет вопрос третий.
    • +1
      Если что-то технически может быть сделано — рано или поздно оно будет сделано.
  • +5
    Эмм, и что? Или кто-то ещё остался настолько тупой и наивный, что верит в какую-то там неприкосновенность/конфиденциальность/защищённость данных в облаках (сторонних серверах вообще). Люди, опомнитесь уже, и хватит ныть каждый раз, когда раскрывается такая неожиданная правда — наверняка к вашим «личным» данным может получить доступ чуть ли не каждый разработчик (следователь по запросу и по знакомству, АНБ, разного рода хацкеры и полухацкеры (напр., бывший сотрудник, знающий лазейку) и иные из неопределимых размеров круга лиц).
    Научитесь, наконец, шифровать значимые данные. Откройте для себя TrueCrypt, KeePass, PGP. Ну или не нойте.
  • +1
    «Вы соглашаетесь с тем, что корпорация Майкрософт вправе получать доступ, разглашать или хранить сведения, связанные с использованием вами служб…

    Это все равно что производитель тетрадей заявится ко мне домой и начнет рыться в моих тетрадках на основании того, что он произвел эти тетрадки.
    • +2
      Ага, только этот производитель доставляет вам новую чистую тетрадку, как только вы испишете в своей последнюю страничку. Бесплатно. Ну да, там есть реклама на обложке, это как бы подразумевается.
      • +2
        Когда мне нужна чистая тетрадка, я ее покупаю. Так же и на облачных серверах, кончается место, докупаю место.
      • +2
        А старую тетрадку забирает себе. На память.
    • 0
      Только, как заметили выше, этот производитель еще имеет техническую возможность в эти тетрадки писать, даже не ставя вас в известность.
      • 0
        Производитель предоставляет совместный доступ к тетрадке обеспечивая техническую возможность, что два владельца тетрадки не знают, что пишет каждый владелец. Не важно как он это делает. Может каждый владелец пишет только на своей стороне листа. Или производитель прикрывает часть листа и не показывает другую часть листа другому владельцу. Как ни крути с этой аналогией, производитель тетрадки не имеет право врываться к вам домой и рыться в тетрадях и изымать их.
  • +3
    А почему автор умалчивает, что у Apple и Google точно такие же условия использования как у Майкрософт, чуть ли не слово-в-слово. Все эти компании оставляют за собой право рыться в данных клиентов, если речь идет о необходимости защиты собственности и интересов компании.
    • +3
      Вероятнее всего так и есть. Просто Microsoft получается как бы первая, кто публично использовала эти условия для судебного преследования в своих же собственных интересах.

      Автор, Род Трент, как раз делает акцент на том, что став облачным клиентом — вы утрачиваете контроль над своими данными.

      Давайте представим модель ИТ «из 90-х». Нагрянула проверка органов правопорядка, и администратор пошел с молотком уничтожать жесткие диски с черной бухгалтерией. Такой вот утрированный пример. Что же, получается, в облачном сервисе. Да вы даже не узнаете, что «пришла проверка». За вами, и вашими данными могут негласно наблюдать.

      При этом, вам, как российской компании, насколько удивительно будет что тайное судебное решение принято в США или Евросоюзе?
      • +1
        При этом, вам, как российской компании, насколько удивительно будет что тайное судебное решение принято в США или Евросоюзе?


        Вот как раз эти ребята меня не очень беспокоят.

        Беспокоят люди, которые могут до тебя «добраться» с более-меннее реалистичной затратой усилий и имеют для этого хоть сколько-нибудь реалистичный мотив.

        В подавляющем большинстве случаев такого рода оппоненты у Российских компаний обитают в России же.

        А так держать оргданные в облаке — не очень мудро, конечно же.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      а какой размер контейнера вы используете?
      • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Тут буквально вчера поставил на андроид приложение MS Windows Mobile. Никакие способы сохранения файла .DOCX, как нового, так и существующего на карте SD, не работают, как только сохранение в облако от MS. Похоже, MS при любом раскладе хочет заполучать как можно больше пользовательских данных, и стиль нейтральности, в котором выдержан текст лицензии — всего лишь маскировка подлинного положения вещей. В MS Office 365 для десктопа есть возможность сохранять и на локальных дисках, и в облаках, но примечательно то, что из учётной записи Windows Live ID в запущенном Word 2013 не выйдешь, и при установке офиса, при отказе от использования облака всё равно выдаёт неотменяемое окно с приглашением ввести свой Live ID.
  • +1
    Так они ведь скопировали данные не пользователя, а сотрудника. У них и почта вида @ microsoft.com. И них и сайт там не outlook.com
    • +1
      Если абстрагироваться от того, как это происшествие изложено в зарубежных источниках, в судебной жалобе дословно указано следующее:
      image

      где Source — провокатор, Blogger — блоггер из Франции.
      Из текста следует, что по наводке некого «левого» товарища, сотрудники Microsoft, не основываясь на судебном решении извлекли для изучения содержимое почтового ящика блоггера.

      Примерно так — New-MailboxExportRequest blogger@outlook.com -FilePath snoopy-snoop.pst
      • 0
        В эксчейнже (который для облака и используется) есть специальные инструменты как раз поиска доказательств для судебных разбирательств.
  • +3
    Справедливости ради, необходимо заметить, что дело вовсе не в облаках. При любом договоре аутсорсинга, например при заключении договора с провайдером доступа в интернет или мобильным оператором пользователь может (и фактически передает):

    а) пароли в открытом виде
    б) почтовые сообщения в незашифрованном виде
    в) информацию о своем местоположении (айпи адрес и данные о сеансе связи)

    Если вы пользуетесь хостингом сайта и/или почтой на нем — ваши файлы, включая сообщения просматриваются автоматически антивирусными и антиспам программами, а в случае технической необходимости и сотрудниками хостера.

    Поэтому, если кто-то открыл для себя, что к приватной информации у многих есть и может быть получен доступ, это только его проблемы.
    Как только вы подключились в сеть интернет, вы уже передали о себе приватную информацию. О том, как ее минимизировать, а также свести к минимуму возможность раскрытия важной информации в том же интернете опубликованы терабайты информации.
    • 0
      Более того — техподдержка хостера, например, имеет доступ к клиентским сайтам и базам данных CMS.
      Иначе как она сможет помочь разобраться клиенту, почему у него скрипты на шаредхостинге отжирают 100% процессора всей системы.
      Хотя как бывший сотрудник сапорта хостинга могу сказать, что все вмешательства в файлы пользвоателей только после прямых запросов с контактнтой почты акаунта, логированием действий и всё очень серьезно, и в первую очередь как защита самих сотрудников хостинга от претензий клиентов «а какого черта у меня на сайте висит порнобаннер».
      Ну и недобросовестные сотруднички, которые нам совсем не сотрудничики, тоже, к сожалению, бывают.
  • НЛО прилетело и опубликовало эту надпись здесь

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.