A Microsoft forneceu ao FBI as chaves de recuperação para desbloquear dados criptografados nos discos rígidos de três laptops como parte de uma investigação federal, conforme reportou a Forbes na sexta-feira (24). Muitos computadores Windows modernos utilizam a criptografia de disco completo BitLocker, habilitada por padrão, tecnologia que deveria impedir o acesso aos dados por qualquer pessoa que não seja o proprietário do dispositivo.
No entanto, por padrão, as chaves de recuperação do BitLocker são enviadas para a nuvem da Microsoft, permitindo que a gigante da tecnologia — e, por extensão, as autoridades — acessem-nas e as usem para descriptografar unidades. O caso envolve várias pessoas suspeitas de fraude relacionada ao programa de Assistência de Desemprego Pandêmico em Guam, uma ilha dos EUA no Pacífico.
Contexto do caso e preocupações com privacidade
Um porta-voz da Microsoft não respondeu imediatamente a um pedido de comentário da TechCrunch. A empresa informou à Forbes que, às vezes, fornece chaves de recuperação do BitLocker às autoridades, recebendo uma média de 20 desses pedidos por ano. A solicitação do FBI ocorreu seis meses após a apreensão dos três laptops criptografados, de acordo com o veículo local Kandit News.
Além dos riscos à privacidade da entrega das chaves a uma empresa, o professor da Universidade Johns Hopkins e especialista em criptografia Matthew Green levantou o cenário potencial em que hackers maliciosos comprometem a infraestrutura de nuvem da Microsoft — algo que aconteceu várias vezes nos últimos anos — e obtêm acesso a essas chaves de recuperação. Os criminosos ainda precisariam de acesso físico aos discos rígidos para usar as chaves roubadas.
Críticas à segurança e padrões da indústria
“Estamos em 2026 e essas preocupações são conhecidas há anos”, escreveu Green em uma publicação no Bluesky. “A incapacidade da Microsoft de proteger chaves críticas de clientes está começando a torná-la uma exceção no resto da indústria.” A prática coloca em discussão o equilíbrio entre a assistência a investigações legais e a garantia de privacidade e segurança dos dados dos usuários em sistemas de criptografia amplamente utilizados.
O caso destaca um mecanismo pouco conhecido pelo público geral, onde a recuperação de dados por autoridades pode ser facilitada pela própria arquitetura de segurança do sistema operacional, levantando debates sobre a soberania dos dados e a transparência das empresas de tecnologia em relação a essas práticas.