En gruppe privacy-aktivister har tidligere sat spørgsmålstegn ved, om vi kan stole på, at Skype-kommunikation er helt fortrolig. I et åbent brev har de krævet, at Microsoft skal forholde sig til dette som ejer af Skype.
Ifølge tyske heise security er der nu tegn på, at Microsoft faktisk snager i brugernes Skype-chat. Hvis du sender et link i chatten, er der nemlig en god chance for, at denne adresse senere får besøg fra Microsoft.
Det startede med en henvendelse fra en bruger, som undrede sig over usædvanlig trafik i sit netværk. Det viste sig, at en ip-adresse fra Microsoft i Redmond havde forsøgt at kalde en https-adresse, som den pågældende bruger lige havde sendt til en anden bruger på Skype.
Det ser altså ud til, at Microsoft-software har plukket https-adressen ud af chatten og forsøgt at kalde den for at se, hvor den peger hen. I modsætning til almindelige http-adresser bliver https brugt til sikker, krypteret kommunikation.
Hos heise security har man efterfølgende forsøgt at genskabe dette scenarie ved at sende adresser til hinanden på Skype-chatten. Ganske rigtigt; efter nogle timer kunne man læse i logfilerne, at en Microsoft-server havde forsøgt at kontakte de pågældende adresser.
Det er især alvorligt, fordi der netop er tale om https-adresser, hvor selve adresselinjen kan indeholde sessionsdata, login-navne og andre fortrolige oplysninger.
Èn af adresserne pegede mod en privat folder hos en cloud-tjeneste, som kun kunne tilgås med dette specielle link. Men alligevel havde Microsoft altså kopieret adressen fra Skype og selv forsøgt at kontakte den.
Efterfølgende har den tyske nyhedstjeneste kontaktet Microsoft for at få opklaret, hvorfor selskabet henter adresser fra privat chat.
Microsoft svarer ved at henvise til sin politik for beskyttelse af private oplysninger. Her fremgår det blandt andet:
"Skype kan anvende automatiseret scanning i chatbeskeder og sms'er for (a) at identificere mulig spam og eller (b) at identificere URL-adresser, som tidligere er blevet mærket som spam-, svindel- eller phishing-links. Skype kan i begrænsede tilfælde indhente og manuelt gennemgå chat- eller sms-beskeder i forbindelse med Skypes tiltag til forebyggelse af spam."
En talsmand for Microsoft understreger, at man kun scanner chat-beskeder for at finde links til spam- og phishing-sider. Denne scanning kan altså både foregå automatisk og manuelt, hvor en medarbejder hos Skype læser i din chat. Microsoft forbeholder sig også retten til helt at fjerne spam- og phishing-adresser.
Men heise security undrer sig over, at Microsoft kun undersøger https-adresser, som normalt ikke bruges til denne form for svindel, mens http-adresser åbenbart bliver ignoreret. Desuden har Skype sendt såkaldte head-requests for at hente informationer fra serverne. Men det er ikke nok for at afgøre, hvorvidt der faktisk er tale om spam-indhold.
Efter Microsofts overtagelse af Skype og integrationen med selskabets øvrige tjenester har der været frygt for, at det fremover bliver lettere for politiet og efterretningstjenester i USA eller andre steder at få adgang til brugernes data. Microsoft købte Skype for hele 44 milliarder kroner i 2011.
