Microsoft: Daten von Cortana und Skype in China ausgewertet

Sven Bauduin 115 Kommentare
Microsoft: Daten von Cortana und Skype in China ausgewertet
Bild: Microsoft

Microsoft soll Daten wie Audioaufnahmen von Cortana und Skype jahrelang durch Heimarbeiter in China ausgewertet haben, das berichtet die britische Tageszeitung The Guardian und beruft sich dabei auf einen in China arbeitenden Briten, der angibt, die Mitschnitte für ein Unternehmen im Auftrag von Microsoft analysiert zu haben.

Bereits im Sommer 2019 hatte eine Recherche des kanadischen Lifestyle-Magazins Vice ergeben, dass auch Microsoft Audiodaten auswerten ließ. Das Unternehmen aus Redmond hatte daraufhin Besserung gelobt und versprochen, die Auswertung nur noch an wenigen, gesondert gesicherten Standort durchführen zu lassen.

We review short snippets of de-identified voice data from a small percentage of customers to help improve voice-enabled features, and we sometimes engage partner companies in this work.

This past summer we carefully reviewed both the process we use and the communications with customers. As a result we updated our privacy statement to be even more clear about this work, and since then we’ve moved these reviews to secure facilities in a small number of countries.

Microsoft

Der in Peking lebende britische Staatsbürger will an einem dieser durch das Vice Magazin öffentlich gemachten Programme zum Transkribieren und Prüfen von Audioaufzeichnungen aus Skype und Cortana teilgenommen haben und die Daten über einen Zeitraum von zwei Jahren persönlich in Heimarbeit ausgewertet haben. Datenschutz habe es demnach nicht gegeben und eine Mitarbeiterüberprüfung sei ebenfalls nicht erfolgt, so der Brite.

Der Brite war allerdings nicht bei Microsoft direkt, sondern bei einem Drittunternehmen beschäftigt, so dass die Versäumnisse in erster Linie dem chinesischen Auftragnehmer angelastet werden müssen.

Neu sind die Erkenntnisse damit nicht, vielmehr geben sie einen Einblick in die Arbeit der Drittunternehmen und den mitunter zweifelhaften Umgang mit zum Teil sehr sensiblen Nutzerdaten wie beispielsweise Audiomitschnitten.

Keine Überprüfung bei der Einstellung

Der Mann gibt an, bei seiner Einstellung weder nach seinen persönlichen Angaben noch nach seinen Hintergründen befragt worden zu sein, einzig seine Kontoverbindung sei für die Bezahlung von Belang gewesen.

There were no security measures, I don’t even remember them doing proper KYC [know your customer] on me. I think they just took my Chinese bank account details.

Er habe keine Unterstützung zum Thema Datenschutz und Sicherheit erhalten, um die Daten beispielsweise vor kriminellen oder staatlichen Zugriffen zu schützen. Vielmehr seien er und seine Kollegen sogar dazu angewiesen worden, ihre Arbeit unter Verwendung verschiedener Microsoft-Konten und dem immer selben Kennwort durchzuführen, um die Verwaltung zu vereinfachen.

Zugang zu den Audioaufnahmen echter Kunden

Der Mann gibt an, Audiomitschnitte echter Kunden – sowohl absichtliche als auch versehentlich Aktivierungen – aus dem Sprachassistenten Cortana sowie einzelne Skype-Telefonate ausgewertet zu haben, welche ihm über eine Web-App im Chrome-Browser auf seinen persönlichen Laptop gesendet worden sein sollen. Darüber hinaus gibt er an, auf Grund seiner Herkunft und Muttersprache vorwiegend englischsprachige Unterhaltungen und Audiodaten von britischen Kunden analysiert zu haben. Ob diese Kunden in Großbritannien oder ebenfalls in China lebten, sei ihm jedoch nicht bekannt gewesen.

I judged British English (because I’m British), so I listened to people who had their Microsoft device set to British English, and I had access to all of this from my home laptop with a simple username and password login.

Benutzernamen und Passwörter im Klartext

Der Mann, der laut eigenen Angaben bereits als Schüler für den chinesischen Auftragnehmer gearbeitet hat, berichtete ferner, dass der Versand von Zugangsdaten und Passwörtern per E-Mail erfolgte und diese im Klartext vorgelegen hätten. Im Laufe seiner zweijährigen Tätigkeit sei er dabei Zeuge ziemlich außergewöhnlicher Konversationen bis hin zu mutmaßlicher häuslicher Gewalt geworden.

They just give me a login over email and I will then have access to Cortana recordings. I could then hypothetically share this login with anyone. I heard all kinds of unusual conversations, including what could have been domestic violence.

Ob der Brite aktuell noch bei dem chinesischen Auftragnehmer beschäftigt ist und ob dieser noch immer Aufträge von Microsoft erhält, dazu äußerte er sich im Interview mit dem Guardian nicht. Auch der exakte Zeitraum seiner Tätigkeit geht aus dem Gespräch mit der Tageszeitung nicht hervor. Damit bleibt offen, ob er die Arbeiten nur davor, oder auch noch nachdem Microsoft Besserung gelobt hatte ausführen musste.