Microsoft maakte bekend de API gedicht was nadat uit berichtgeving van Cnet dit weekend bleek dat het bedrijf via Windows Phone én via rondrijdende auto's locatiedata van WiFi-apparaten logt. Die gegevens werden openbaar gemaakt via een application programming interface (API) van webservice Live.com. De gegevens konden vervolgens geplot worden op kaarten van zoekmachine Bing.

API-toegang

Het gat werd ontdekt door Elie Bursztein een beveiligingsonderzoeker die werkt voor Stanford University. Hij wees op de privacybezwaren die het koppelen van MAC-adressen aan een fysieke locatie met zich meebrengt.

Op maandag 1 augustus kondigde Reid Kuhn, Partner Group Program Manager van het Windows Phone engineering team van Microsoft, via een blogbericht aan dat de toegang tot de API is beperkt. "Deze verandering voegt verbeterde filtering toe waarmee ieder verzoek wordt gevalideerd, zodat de dienst niet langer een afgeleide positie teruggeeft als een enkel Media Access Control [MAC -red.] adres wordt ingevoerd", aldus Kuhn.

Gat gedicht

Hij zegt verder dat Microsoft op de hoogte is van de privacygevoeligheid van deze informatie en bedankt Burnsztein voor het aankaarten van de zaak. Hierna ontstond wat verwarring omdat Cnet in een tweede bericht stelde dat de API niet was gedicht en het verhaal van Kuhn niet klopte. Ook uit de berichtgeving van Burnsztein op zijn blog werd niet helemaal duidelijk of de API nu wel of niet afdoende was gedicht.

Burnsztein stelt in een e-mail aan Webwereld: "Microsoft heeft het probleem zondagochtend gerepareerd. Ik werd op zaterdag hierover gebeld door Microsoft. Ik weet dat het statement een beetje verwarrend is, omdat het niet teruglinkt naar ons werk, maar het is gerepareerd."

Op de vraag of Microsoft gaat stoppen of doorgaat met het verzamelen van MAC-adressen kon het bedrijf niet direct antwoord geven. Een zegsvrouw heeft de vraag uitgezet en belooft binnen 24 uur hierop terug te komen.