מיקרוסופט תעדכן מעתה את משתמשי שירותי הדואר שלה, Outlook (לשעבר Hotmail), כאשר חשבון המייל שלהם נפרץ. השינוי במדיניות מגיע לאחר פרסום של סוכנות הידיעות רויטרס על כך שהחברה בחרה שלא לעדכן אלפי משתמשים על פריצות לחשבונות המייל שלהם, פריצות שבוצעו לכאורה על ידי הממשלה הסינית.
על פי הדיווח, מומחי אבטחה מידע במיקרוסופט מצאו כבר בשנת 2011 עדויות לפריצות לחשבונות Hotmail כשמקור הפריצות הוביל להאקרים סיניים. חשבונות שנפרצו כללו חשבונות מייל של דיפלומטים אפריקנים ויפניים, עורכי דין בתחום זכויות האדם ומנהיגים במדינה.
שני עובדי מיקרוסופט לשעבר טוענים שנעשו ניסיונות לאתר את התקשורת החריגה לחשבונות מייל אלה כבר בשנת 2009, אולם ההתקפות לא התגלו עד שנת 2011. בחודש מאי של אותה שנה מצאה חברת אבטחת המידע Trend Micro תוכנה שיכולה לנצל פרצה בשירותי הדואר האלקטרוני החינמיים של מייקרוסופט, כאשר תוכנה זו יכולה לשלוח את הדואר הנכנס לכתובת מייל נוספת וזאת בצורה אוטומטית ונסתרת. לאחר הפנייה של Trend Micro החלה מיקרוסופט בחקירה משלה שבה לפי הדיווחים גילו שמקור התקיפות הוא בסין (כתובת ה IP שאותרה באזור בייג’ינג, מרשת מקומית בשם AS4808) כאשר הממשל האמריקני דיווח בצורה רשמית שמכתובת זו בוצעו מספר ניסיונות פריצה נוספים.
בהצהרה הצדיקה מיקרוסופט את החלטתה שלא ליידע את אלפי המשתמשים שנפגעו מהפריצות בטענה שהמתקפות “לא בוצעו ממדינה אחת” וכי לא מיקרוסופט ולא ממשלת ארה”ב הצליחו לאתר את מקור המתקפות. אולם על פי הדיווח ברויטרס ההחלטה באה לאחר דיון בין סקוט צ’רני שכיהן כראש חטיבת האבטחה במיקרוסופט לבין בראד סמית הנשיא הנוכחי של החברה. שני אנשים נוספים שהיו מעורבים בדיונים טענו כי מנהלי החברה לא רצו לעורר את זעמו של הממשל הסיני על ידי פרסום אזהרות על פרצות האבטחה שנמצאו. בחברת מיקרוסופט טענו שחלק מהתקיפות הגיעו ממקומות אחרים.
בזמן שגוגל, פייסבוק ויאהו מדווחות באופן רגיל על ניסיונות לפריצות אבטחה ברמה של ממשלות ומדינות, עד עתה מיקרוסופט לא עמדה בסטנדרט הדיווח הזה ולא פרסמה על פריצות אבטחה מסוג זה. מיקרוסופט הכריזה על המדיניות החדשה וציינה כי “כפי ששיטות וצורות האיומים התפתחו כך גם הגישה שלנו לנושא, וכעת אנו נלך מעבר להודעה והדרכה כדי לידע כאשר אנו סבורים כי התוקף הוא ארגון הממומן על ידי מדינה”.
בעוד ששינוי המדיניות יכול לעזור לעצור ממשלות מלבצע תקיפות כאלה בעתיד, הודעה זו מגיעה מאוחר מידי לאנשים כגון כמו סיים טומטורק (Seyim Tumturk) סגן נשיא של קונגרס האויגורים העולמי, שהחזיק באחד מחשבונות הדואר האלקטרוני שנפרצו. טומטורק אמר לרויטרס שלחברות כמו מיקרוסופט יש אחריות אתית ומוסרית ליידע את המשתמשים כאשר מתבצעת פריצה לחשבון המייל שלהם.
כתב: שמואל כהן