Ars Technica fa notare che su Skype le comunicazioni da utente a utente non sono cifrate e Microsoft in alcuni casi legge i messaggi scambiati dagli utenti in chat. A conferma della scoperta, è stato chiesto aiuto a un ricercatore indipendente, Ashkan Soltani; quest’ultimo ha creato quattro web link a scopo di test: due di questi non sono stati mai visitati, ma altri due, uno che inizia con il prefisso http e l’altro con il prefisso https, sono stati “verificati” da una macchina con IP 65.52.100.214, un indirizzo che appartiene a Microsoft, la prova che la società verifica indirizzi di siti digitati dagli utenti durante le conversazioni.
La notizia non sorprende e anzi, nelle policy della società, tale pratica è espressamente indicata. Nella sezione 3 dell’informativa sulla privacy che regola l’applicazione, si legge: “Skype può utilizzare la scansione automatica dei messaggi istantanei e degli SMS per identificare (a) gli spam sospetti e/o (b) gli URL che in precedenza sono stati contrassegnati come spam, frode o phishing. In casi limitati, Skype può raccogliere e analizzare manualmente messaggi istantanei o SMS con lo scopo di prevenire situazioni di spam. Skype può, a proprio insindacabile giudizio, bloccare, impedire la comunicazione di spam sospetto e rimuovere tali collegamenti dai messaggi”.
Matt Green, docente specializzato in cifratura della John Hopkins University, ha spiegato: “Il problema è la mancata corrisponde tra la privacy che le persone si aspettano e quella praticata da Microsoft. La società afferma di scansionare i link per “scopi benevoli”, ma questo vuol dire che è possibile intercettare i messaggi che la gente si scambia e implica la possibilità di andare oltre i semplici link”. Secondo la società Heise Security, Microsoft potrebbe utilizzare tutti i dati generati durante il servizio e persino registrare e custodire da qualche parte le conversazioni.
Un portavoce della società ha affermato che Microsoft analizza i messaggi per filtrare lo spam e siti di phishing. E’ pero strano che siano verificati anche indirizzi che iniziano con “https” (questo tipo di protocollo non è normalmente associato a questi siti) e non su quelli che iniziano con “http” (sono questi, in generi, quelli usati per diffondere spam e phishing).