Microsoft draagt BitLocker-sleutels over aan FBI en stelt gebruikers bloot aan groot privacyprobleem

Microsoft heeft BitLocker-herstelsleutels overgedragen aan de FBI nadat het bedrijf een geldig bevel had ontvangen, waardoor de privacy van Windows-gebruikers werd blootgesteld. De onthulling volgt op een FBI-onderzoek in Guam, waar Microsoft versleutelingssleutels leverde om de laptops van drie verdachten te ontgrendelen in een fraudezaak in Guam.

Federale onderzoekers in Guam geloofden dat de laptops informatie bevatten die zou bewijzen dat personen die verantwoordelijk waren voor het COVID-19 werkloosheidssteunprogramma van het eiland betrokken waren bij een plan om geld te verduisteren.

Openbaarmaking van Microsoft BitLocker-sleutel wekt wereldwijde privacyzorgen op 

Microsoft verstrekte de herstelsleutels aan FBI-onderzoekers omdat de gegevens waren beveiligd met BitLocker. Deze software beschermt alle gegevens op de harde schijf van de computer en wordt automatisch geactiveerd op veel moderne Windows-pc's. Gegevens worden door BitLocker versleuteld zodat alleen degenen met de sleutel deze kunnen ontcijferen.

Hoewel gebruikers hun sleutels op een persoonlijk apparaat kunnen bewaren, adviseert Microsoft BitLocker-klanten om hun sleutels op zijn servers op te slaan voor eenvoudiger beheer. Dit brengt mensen in gevaar voor rechtszaken en rechterlijke bevelen van wetshandhaving, hoewel het ook betekent dat ze toegang hebben tot hun gegevens als ze hun wachtwoord vergeten of het apparaat vergrendelen na meerdere mislukte inlogpogingen.

Het bedrijf uit Redmond, Washington heeft naar bekend nog nooit eerder een versleutelingssleutel aan wetshandhaving gegeven, tot de Guam-zaak, waar het de versleutelingssleutels overhandigde aan onderzoekers. Microsoft bevestigde echter dat het BitLocker-herstelsleutels wel aanbiedt in het geval van een legitiem gerechtelijk bevel. 

Chamberlayne voegde eraan toe dat Microsoft jaarlijks ongeveer 20 verzoeken voor BitLocker-sleutels ontvangt. In veel van deze gevallen hebben klanten hun sleutels niet in de cloud opgeslagen, waardoor het bedrijf niet kan helpen.

Het overhandigen van de sleutels aan wetshandhaving wekte echter privacyzorgen op. In een verklaring van senator Ron Wyden aan Forbes is het "gewoonweg onverantwoordelijk voor techbedrijven om producten te leveren op een manier die hen in staat stelt de versleutelingssleutels van gebruikers in het geheim over te dragen. Hij voegde eraan toe dat het toestaan dat ICE of andere Trump-bendleden de versleutelingssleutels van een gebruiker stelen, de persoonlijke veiligheid en beveiliging van gebruikers en hun families in gevaar brengt en hen toegang geeft tot het hele digitale bestaan van de gebruiker.

Dit probleem beperkt zich niet tot de Verenigde Staten. Jennifer Granick, toezicht- en cybersecurityadviseur van de ACLU, merkte op dat landen met twijfelachtige mensenrechtenrecords ook gegevens vragen van techgiganten zoals Microsoft. Ze voegde eraan toe dat het op afstand opslaan van ontsleutelingssleutels zeer riskant kan zijn.

Een deelnemer op Hacker News beweerde dat het probleem was dat Microsoft die sleutels al had. Als de sleutel toegankelijk en vrij te gebruiken is, wat heeft versleuteling dan voor zin? iCloud Email is hetzelfde, voegde de gebruiker toe.

De gebruiker beweerde ook dat door mensen gemaakte wetten en regelgeving geen privacy kunnen bieden omdat ze worden misbruikt en onderhevig zijn aan verandering. De bron van privacy is wiskunde, die regels en voorschriften negeert.

Mondiale overheden dringen aan bij techbedrijven voor versleutelingsachterdeurtjes

Wetshandhaving vraagt regelmatig om versleutelingssleutels, achterdeurtoegang of andere beveiligingsfouten van computerbedrijven. Apple is herhaaldelijk gevraagd om toegang tot versleutelde gegevens in zijn cloud of op zijn apparaten. In oktober vorig jaar hernieuwde de Britse regering zijn confrontatie met Apple over toegang tot klantgegevens. De regering eiste een achterdeurtje in de cloudopslagservers van het techbedrijf, gericht op alleen Britse gebruikers.

In een breed gerapporteerde confrontatie met de regering in 2016 verzette Apple zich tegen een FBI-bevel om te helpen bij het openen van de telefoons van terroristen die 14 mensen neerschoten en doodden in San Bernardino, Californië. Uiteindelijk slaagde de FBI erin een aannemer te laten inbreken in de iPhones.

In een afzonderlijk rapport in april vorig jaar keurden wetgevers in Florida unaniem een wetsontwerp goed dat sociale mediabedrijven zou verplichten om wetshandhavingsfunctionarissen toegang te geven tot gebruikersaccounts via versleutelingsachterdeurtjes.

Lees niet alleen cryptonieuws. Begrijp het. Abonneer je op onze nieuwsbrief. Het is gratis.