Компьютерный криминалист и специалист по восстановлению данных Барнаби Скеггс обнаружил проблему в дизайне операционных систем Windows 8.1 и Windows 10. Они способны подвергнуть риску кражи данные некоторых пользователей незаметно для них. При выполнении подробного системного анализа с целью определения существования на компьютере одного электронного письма Скеггс нашёл заголовок письма в необычном файле WaitList.dat.

У него была копия электронного письма, чтобы знать, что искать. Нужно было понять, существовало ли это письмо когда-нибудь на конкретном компьютере. После анализа архивов .PST и .OST письмо найдено не было. Потом был произведён поиск вирусов в теневых копиях и различных файлах электронной почты. Наконец, последняя попытка выдала файл WaitList.dat весом 140 Мб. В нём содержались метаданные и полный текст более чем 36000 электронных писем и документов за последние три года.

Этот файл существует не на всех компьютерах на Windows 10. Чтобы он был создан, нужно включить распознавание рукописного ввода на Windows 8.1 или Windows 10. Система Input Personalization System (IPS) собирает персональные данные пользователей. Microsoft утверждает, что это делается для повышения точности рукописного ввода.

WaitList.dat содержит письма Outlook, информацию о контактах, содержимое различных типов документов, в том числе дату и время, идентификатор документа, полное содержимое и адрес отправителя. WaitList.dat сохраняет многочисленные индексы одного документа в разные моменты времени. Это позволяет отслеживать историю изменений файла, даже когда отсутствует теневая копия или файл удалён с жёсткого диска. Письмо или документ записываются в WaitList, даже когда пользователь не открывает и не читает их.

Документы и письма можно удалить, но данные о них из WaitList.dat не удаляются. Поэтому файл может применяться для восстановления информации с компьютера. Данные собираются при помощи Windows Search Indexer. Исследователь написал программу на языке программирования Python, которая может извлечь эти сведения в простой текстовый файл. Метаданные извлекаются в отдельный файл формата CSV.

Непонятно, зачем Microsoft связала систему распознавания рукописного текста с индексацией каждого документа на компьютере. Большинство пользователей обычных компьютеров могут не волноваться по этому поводу, но на планшетах некоторые пользуются рукописным вводом.