Si tratta del “Global Criminale Compliance Handbook” dossier interno alla Microsoft, che svela nel dettaglio esattamente ciò che Microsoft raccoglie al livello di informazioni sugli utenti dei suoi servizi on-line, e il modo in cui è possibile accedervi. Il materiale raccolto e disponibile su di voi è abbastanza completo, comprese le e-mail, informazioni dettagliate su quando si accede e si utilizzano i servizi, le informazioni della carta di credito, e così via.
Il manuale è prima trapelato dal sito di denuncia Cryptome. Microsoft ha chiesto che il documento venga rimosso dal sito, ai sensi del Digital Millennium Copyright Act. Il sito è stato invece chiuso ed è in fase di manutenzione.
Il manuale è disponibile presso il sito Wikileaks.
Il rapporto, pubblicato nel marzo 2008, è etichettato come “US Domestic Version”, che spinge a domandarsi se c’è anche una versione disponibile per le agenzie statunitensi che operano prevalentemente all’estero e per i governi stranieri. Ma non so se tale documento esiste. Inoltre, il documento può essere stato sostituito da uno successivo, più aggiornato. I dettagli del manuale spiegano esattamente come la polizia e le agenzie di intelligence possono ottenere le informazioni, anche per conseguire procedimenti legali, e come effettuare le richieste di emergenza per le informazioni. Ad esempio:
Microsoft Online Services risponderà alle richieste di emergenza al di fuori del normale orario di lavoro, se l’emergenza coinvolge “il pericolo di morte o lesioni fisiche di una persona …”, come consentito in 18 USC § 2702 (b) (8) e (c) (4). Le emergenze sono limitate a situazioni come rapimenti, minacce di morte, minacce di attentati dinamitardi, minacce di terrorismo, ecc Se si dispone di una richiesta d’urgenza, si prega di chiamare il numero verde di contrasto (425) 722-1299.
La relazione descrive quali sono le informazioni disponibili da Microsoft Online Services di polizia e servizi ingelligence, tra cui:
E-mail Servizi
Servizio di autenticazione: Windows Live ID
Instant Messaging: Windows Live Messenger
Social Networking Services: Windows Live Spaces & MSN Groups
Domini personalizzati: Windows Live Custom Domains e Office Live Small Business
Online File Storage: Office Live Workspace & Windows Live SkyDrive
Gaming: Xbox Live
Ciò che è disponibile è il contenuto effettivo delle vostre comunicazioni -per esempio, le copie delle email – così come altre informazioni, ad esempio la vostra storia connessione ed i dati associati che avete fornito a Microsoft durante il processo di registrazione. Il documento enuncia, in minimi dettagli, quello che è disponibile per l’applicazione della legge e le agenzie di intelligence.
Il documento fornisce inoltre consigli e suggerimenti per l’applicazione della legge e alle agenzie di intelligence su come capire le informazioni che Microsoft fornisce. Alcune pagine, per esempio, si dedicano ad aiutare le agenzie su come interpretare le informazioni su Windows Live ID log-in, mostrando, per esempio, quando la gente e loggato o meno, la storia del proprio indirizzo IP, e così via.
È interessante notare che il documento contiene solo alcune informazione su Windows Live SkyDrive, il servizio gratuito di archiviazione online di file. Il documento ha una sola frase, la descrizione del servizio, insieme con uno screenshot. Suppongo che i file sul servizio possano essere ottenuti dalla polizia e dalle agenzie di intelligence, ma non ci sono dettagli su questo, rimane così una questione aperta.
Un po ‘di informazioni sono disponibili su utenti di Xbox Live. Ecco cosa dice il documento può essere ottenuto dalla polizia e da funzionari dei servizi segreti:
Quali documenti sono conservati e per quanto tempo?
Sia registrazione e documentazione della storia di connessione IP sono conservati per la vita del conto del gamertag. In quanto il volume di documenti storia IP di connessione può essere grande, quando è possibile richiedere il determinato intervallo di date di registro a cui si è specificamente interessati. Una lista completa di documenti conservati è qui di seguito:
* Numero carta di credito
* / Cognome con il codice di avviamento postale
* Numero di serie, ma solo se la confezione è stata registrata on-line. “Console ID” è meglio.
* Numero di richiesta di servizi da Xbox Hotline (ad esempio, 103xx SR-xx-xx)
* E-mail (eg@msn.com, @ hotmail.com o qualsiasi altro nome account Windows Live ID)
* Storia IP per tutta la durata del gamertag (solo una gamertag alla volta)
Se la vostra inchiesta implica un furto di una console Xbox e se la console ha numero di serie oppure è un gamertag degli utent Xbox LIVE che viene fornita quando la console è stata collegato a Internet, allora il record di connessione IP può essere disponibile.
Particolarmente degno di nota è la sezione finale del documento, che espone in dettaglio quali informazioni Microsoft è tenuto per legge a fornire alle forze di polizia e le agenzie di intelligence. Qui, per esempio, è una piccola sezione:
Informazioni che possono essere comunicate con un mandato di comparizione. Informazioni sugli abbonati di base comprende il nome, l’indirizzo, l’anzianità di servizio (data di inizio), i nomi di schermo, altri account email, l’indirizzo IP / IP logs / log utilizzo, dati di fatturazione, il contenuto (diversi da quelli di e-mail, come in Windows Live Spaces e gruppi di MSN) e di contenuto e-mail più di 180 giorni di vita fino a quando l’ente governativo segue le disposizioni di notifica ai clienti in ECPA (v. 18 USC § § 2703 (b), 2705.)
Il documento prosegue spiegando che una decisione del giudice è necessaria per il resto del profilo di un cliente. Si precisa, inoltre, quando sono necessari mandati di perquisizione.
Nulla di tutto ciò dovrebbe essere una sorpresa. Tutte le aziende, non solo Microsoft, devono rispettare le leggi che li obbligano a consegnare le informazioni alla polizia e alle agenzie di intelligence. Così Microsoft non è da biasimare. Ma è certamente buona cosa osservare come funziona la procedure.
Microsoft, tra l’altro, ha rilasciato una dichiarazione sulla vicenda. Ecco ciò che l’azienda ha da dire:
“Come tutti i fornitori di servizi, Microsoft deve rispondere alle richieste di lecita da organismi preposti all’applicazione della legge a fornire informazioni relative a indagini penali. Ci prendiamo le nostre responsabilità di proteggere i nostri clienti la privacy molto seriamente, in modo da avere delle linee guida specifiche che usiamo per rispondere alle richieste di applicazione di legge. In questo caso, non abbiamo chiesto che questo sito fosse chiuso, ma solo di rimuovere il contenuto con copyright Microsoft.”
