Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новая итерация популярного почтового клиента подозревается в несанкционированной передаче данных Microsoft

14/11/23

email-3249062_1280

Новый бесплатный Outlook, призванный заменить встроенное приложение Почта в Windows, а вскоре и классический Outlook, вызывает беспокойство у специалистов безопасности и простых пользователей из-за передачи конфиденциальных данных на серверы Microsoft, пишет Securitylab.

Новое приложение Outlook, которое теперь не является частью Microsoft Office и распространяется бесплатно, как оказалось, пересылает учётные данные IMAP и SMTP электронной почты, а также все письма на серверы Microsoft. Несмотря на возможность возврата к предыдущим приложениям, данные уже остаются у компании, что фактически позволяет ей читать электронные письма своих пользователей.

После установки обновления Windows 11 23H2, новый Outlook отображается как рекомендуемое приложение в меню «Пуск». Предполагается, что он заменит встроенные в Windows программы почты и календаря в 2024 году и, в конечном итоге, заменит классический Outlook.

При добавлении почтового аккаунта, не принадлежащего Microsoft, программа предупреждает о синхронизации данных с облачным хранилищем Microsoft, что даёт компании полный доступ ко всем письмам. Эта функция также доступна в версиях Outlook для Android, iOS и macOS.

Во время тестирования безопасности экспертами было обнаружено, что новый Outlook передаёт на серверы Microsoft данные сервера, имя пользователя и пароль при создании учётной записи IMAP. Причём передаются эти данные в открытом виде, хотя и не без помощи TLS.

Переключение со старого на новый Outlook не влечёт автоматической передачи настроенных IMAP-аккаунтов, однако учётные записи, хранящиеся в Windows, передаются. При тестировании с учётными записями Google использовалась аутентификация OAuth2, при которой Microsoft получает только токен доступа.

Комментарий от Microsoft по этому вопросу пока не поступил, но уже сейчас необходимо предостеречь пользователей от необдуманного перехода на новый Outlook.

Федеральный уполномоченный Германии по защите данных и свободе информации, профессор Ульрих Кельбер, выразил беспокойство по поводу перенаправления данных в новом Outlook и планирует запросить отчёта у Ирландского комиссара по защите данных на следующей неделе во время встречи европейских надзорных органов по защите данных.

Темы:Отрасльэлектронная почтаданные пользователейMicrosoft Outlook
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...