Мы все знали, что это «фича», а не баг. Но теперь у нас есть подтвержденный прецедент.
Если вы думали, что шифрование диска в Windows спасает от федералов, у меня для вас новости. Вчера, 23 января 2026 года, по данным Forbs, в деле о мошенничестве на Гуаме (Guam Pandemic Unemployment Assistance fraud investigation) произошел прецедентный кейс. ФБР изъяли три ноутбука, зашифрованных BitLocker. Брутфорсить TPM и AES-XTS — занятие бесперспективное, и агенты это понимали.
Поэтому они пошли не к хакерам, а к юристам. ФБР выписало ордер Microsoft, и Редмонд спокойно выгрузил им ключи восстановления (recovery keys) подозреваемых. Диски расшифровали, доказательства изъяли, дело шьют.
Почему это работает (Product Vision)
Как B2B-продакт, я прекрасно понимаю логику Microsoft. Когда обычный юзер забывает пароль от диска, он звонит в саппорт. Саппорт стоит денег. Решение? Спрятать сложность "под капот".
В современных сборках Windows 11 процесс OOBE настроен просто: вы логинитесь под Microsoft Account, и система молча бэкапит ваши ключи BitLocker в облако — OneDrive или Azure. Для пользователя это выглядит как «удобство», а для юристов Microsoft — как данные, подпадающие под Stored Communications Act.
В отличие от Apple, которая архитектурно лишила себя возможности читать ключи пользователей, Microsoft выбрала путь наименьшего сопротивления и головных болей. Если ключи лежат на сервере, компания обязана их выдать по валидному ордеру. И они выдают — около 20 раз в год, просто раньше об этом не трубили в прессе.
Цена вопроса
Цена «удобства» в данном конкретном кейсе — $1.9 млн, которые, по версии следствия, украли через схему с пособиями по безработице (PUA). Но для нас вывод другой: если вы не выпилили эти ключи из облака руками, вы, по сути, делегировали свои данные юридическому департаменту Microsoft. Ну или используйте Veracrypt.
Что делать, если у вас настроен Bitlocker:
Зайдите на https://account.microsoft.com/devices/recoverykey .
Если видите там список 48-значных ключей — поздравляю, они есть у Microsoft (и потенциально у товарища майора).
Удалите их из облака.
Сгенерируйте новые ключи локально и запишите их на флешку или бумагу.
Или просто используйте Veracrypt.
Фича работает штатно. Просто SLA на приватность в неё не завезли.
