Email, contatti, password - Oh, mio Dio! Il nuovo Outlook condivide tutto con Microsoft mettendo a rischio la vostra sicurezza
Il nuovo Outlook per Windows di Microsoft condivide tutti i dati con i suoi server e con un massimo di 813 partner.
MS Outlook condivide le vostre password?
Il sito tecnologico tedesco Heise ha scatenato uno scandalo nel novembre 2023 rivelando che il nuovo Outlook, che sta sostituendo l’applicazione di posta su Windows, condivide le password degli utenti con i server americani di Microsoft.
Questo ha portato le autorità sulla scena, poiché gli avvertimenti sulla condivisione delle password e di altre informazioni sensibili da parte del nuovo Outlook per Windows non potevano essere ignorati a causa delle gravi implicazioni per la sicurezza. Ciò è particolarmente preoccupante, anche per la sicurezza nazionale, se si pensa che quasi tutte le organizzazioni governative, dalla Germania agli Stati Uniti, utilizzano un ambiente aziendale Windows. Di conseguenza, il commissario federale tedesco per la protezione dei dati e la libertà di informazione, Ulrich Kelber, ha dichiarato su Mastodon:
“Le notizie sulla presunta raccolta di dati da parte di MS tramite Outlook sono allarmanti. Chiederemo ai commissari irlandesi per la protezione dei dati, che sono legalmente responsabili di questo, una relazione in occasione della riunione delle autorità europee di controllo della protezione dei dati di martedì”.
Sebbene a tutt’oggi i funzionari irlandesi non abbiano rilasciato alcuna dichiarazione in merito al problema della sicurezza delle password di posta elettronica di Microsoft, vale la pena di dare un’occhiata più approfondita al modo in cui il nuovo Outlook per Windows condivide le vostre password, a cosa questo significhi per la vostra sicurezza e a come possiate proteggervi da una raccolta di dati troppo aggressiva da parte di Microsoft.
Diamo quindi un’occhiata più da vicino all’aggiornamento di Outlook: cosa succede sotto il cofano che rappresenta una minaccia per la nostra privacy e sicurezza online?
Raccolta aggressiva di dati
Con il suo ultimo aggiornamento, Outlook segue le orme dei giganti tecnologici della Silicon Valley come Google (Alphabet), Facebook (Meta) e Apple raccogliendo sempre più dati. Ovviamente, Microsoft ha capito che i dati sono il nuovo petrolio e che può aumentare enormemente le sue entrate facendo leva su ciò che già possiede: grandi quantità di dati provenienti dai suoi miliardi di clienti personali, aziendali e del settore pubblico in tutto il mondo.
La raccolta e l’analisi dei dati degli utenti è diventata sempre più redditizia, soprattutto ora che Microsoft ha investito pesantemente in OpenAI, l’azienda di intelligenza artificiale più importante di oggi.
Nel 2012, quando Google cambiò la sua politica sulla privacy che consentiva alla big tech di raccogliere i dati degli utenti, Microsoft pagò gli annunci sui giornali per sottolineare le proprie protezioni sulla privacy rispetto a Google.
Ora, a distanza di oltre un decennio, Microsoft ha imparato che la privacy non porta soldi, ma la raccolta di dati, la profilazione degli utenti e le pubblicità personalizzate sì. È triste vedere che aziende come Microsoft e Apple, che un tempo difendevano la privacy (si veda questa pubblicità dell’iPhone del 2020), ora si sono rivolte anche alla raccolta di dati per aumentare i ricavi.
Nel settore tecnologico sembra che tutto ciò che conta sia la crescita del valore per gli azionisti. E poiché in un mercato saturo come quello statunitense ed europeo, se queste aziende non riescono a vendere più iPhone o più computer Windows, devono ricorrere alla raccolta di dati e agli annunci personalizzati.
Rete di partner in crescita
Non è quindi una sorpresa che il nuovo Outlook per Windows condivida i dati con centinaia di terze parti, come indicato nella sua politica sulla privacy.
Grazie al GDPR europeo, Microsoft non può nascondere agli utenti europei le informazioni sulla sua eccessiva condivisione di dati. Se vi trovate nell’UE e utilizzate il nuovo Outlook per Windows per la prima volta su un nuovo PC, vi verranno richieste queste informazioni tramite un cookie:
Noi e 772 terze parti trattiamo i dati per: memorizzare e/o accedere alle informazioni sul dispositivo dell’utente, sviluppare e migliorare i prodotti, personalizzare gli annunci e i contenuti, misurare gli annunci e i contenuti, ricavare informazioni sul pubblico, ottenere dati geolocalizzati precisi e identificare gli utenti attraverso la scansione del dispositivo. Alcune terze parti possono trattare i dati dell’utente sulla base del loro legittimo interesse. L’utente può esercitare il proprio diritto al consenso o all’obiezione in qualsiasi momento selezionando il link Gestisci preferenze qui sotto, o tramite le impostazioni di Outlook. Facendo clic sul pulsante Accetta tutto, l’utente accetta l’uso di queste tecnologie e il trattamento dei suoi dati per questi scopi durante l’utilizzo di Outlook.
Quando viene visualizzata questa richiesta, è importante non fare clic rapidamente e non premere accidentalmente “Accetta tutto”. Se lo fate, permetterete a Microsoft di condividere molti dei vostri dati personali con la sua rete di partner in continua espansione per vari scopi, alcuni dei quali potrebbero spaventare qualsiasi persona interessata alla privacy. Accettando tutto si acconsente all’analisi e al tracciamento dei dati, tra cui:
- Visualizzazione di annunci personalizzati
- Ottenere informazioni sul pubblico
- Memorizzare i dati di geolocalizzazione
- Accedere ai dati sul vostro dispositivo
- Identificare l’utente tramite la scansione del dispositivo
Quindi, quando vedete comparire questa richiesta di autorizzazione alla condivisione dei dati: assicuratevi di fare clic su Rifiuta tutto!
Prima di tutto, non vorrete che Microsoft condivida i vostri dati personali sensibili con centinaia di inserzionisti e broker di dati, e in secondo luogo la sua rete di partner è in costante crescita. La condivisione dei dati da parte di Microsoft con terze parti sembra essere un passo piuttosto redditizio, dato che l’avviso sui cookie è stato aggiornato alla condivisione dei dati con “813 partner”. Chissà quanti altri partner metteranno le mani sui vostri dati in futuro, se acconsentirete alla condivisione?
Unirsi ai 5 principali inserzionisti
Con l’aumento della condivisione dei dati, una cosa è diventata ovvia: Microsoft sta per diventare uno dei primi cinque inserzionisti online.
Già nel 2022, il capo di Microsoft Ads Rob Wilk ha dichiarato in un’intervista che il gigante tecnologico statunitense intende raddoppiare le entrate pubblicitarie di 20 miliardi di dollari. Ora stiamo assistendo alla realizzazione di questo piano.
Con il rilascio del nuovo Outlook per Windows nel settembre 2023, Microsoft ha completato l’ultimo passo per entrare a far parte dei primi cinque inserzionisti: Alphabet (Google), Meta (Facebook), Apple, Amazon e ora anche Microsoft.
Già in precedenza, su Reddit ci si era lamentati del fatto che Outlook traveste gli annunci pubblicitari da e-mail, proprio come Gmail che ora mostra gli annunci direttamente nella casella di posta:
Quindi, anche se non è una novità, la macchina degli annunci si rafforzerà ulteriormente con il nuovo Outlook. Gli annunci che vengono fatti passare agli utenti di Outlook riguardano prodotti Microsoft o prodotti di terze parti venduti da Microsoft ai suoi partner.
Sebbene Microsoft permetta di utilizzare Outlook gratuitamente, monetizza l’utente vendendo il suo tempo e la sua attenzione a terzi. Questo è simile a ciò che fanno altri grandi servizi tecnologici come Google e Facebook, ma con il nuovo Outlook la condivisione dei dati sta esplorando dimensioni completamente nuove.
Oltre alla condivisione dei dati con terze parti - che potete rifiutare attivamente - il nuovo Outlook condividerà anche dati sensibili come le password con i suoi server cloud se utilizzate la funzione di sincronizzazione di Microsoft. Questo è ancora più preoccupante perché comporta un grave rischio per la sicurezza, che potrebbe portare ad attacchi di credential stuffing, dato che tutte le password saranno memorizzate su un server centrale: quello di Microsoft.
Questa informazione è stata uno shock per gli amanti della sicurezza e l’eliminazione degli account di Outlook è diventata una tendenza.
Ma prima di decidere se potete ancora affidare a Microsoft la vostra casella di posta elettronica personale, facciamo un’immersione tecnica nel modo in cui Outlook condivide i vostri dati per capire cosa sta succedendo esattamente!
Problema di sicurezza: Come il nuovo Outlook condivide i dati
Il nuovo MS Outlook per Windows non è il client di posta elettronica locale come lo conoscevamo prima. La nuova versione funge da gateway per l’ambiente cloud di Microsoft. Affinché i messaggi di posta elettronica provenienti da provider non appartenenti a Microsoft possano essere sincronizzati sui dispositivi, Microsoft richiederà e memorizzerà sui propri server le credenziali IMAP e SMTP di ciascun account di posta elettronica.
Quando si aggiunge un account al nuovo Outlook, gli utenti vengono accolti con un avviso un po’ intimidatorio sulla condivisione delle informazioni. Il messaggio dice che per collegare un account IMAP, Outlook deve sincronizzare le e-mail con il cloud Microsoft. Sebbene i contatti e gli eventi del calendario esistenti non possano essere condivisi con Microsoft, tutte le nuove aggiunte effettuate in Outlook saranno archiviate nel cloud Microsoft.
In dettaglio, il messaggio visualizzato in Outlook recita:
“Cosa succede quando sincronizzo il mio account con il cloud Microsoft? La sincronizzazione dell’account con il cloud Microsoft significa che una copia della posta elettronica, del calendario e dei contatti verrà sincronizzata tra il provider di posta elettronica e i centri dati Microsoft. La presenza dei dati della casella di posta elettronica nel Cloud Microsoft consente di utilizzare le nuove funzionalità del client Outlook (Nuovo Outlook per Windows, Outlook per i0S, Outlook per Android, Outlook.com o Outlook per Mac) con l’account non Microsoft, proprio come con gli account Microsoft”.
Come si legge nell’avviso, i dati condivisi possono persino includere le credenziali di accesso, come le password, rendendo così disponibili al gigante tecnologico americano le chiavi della vostra vita digitale. Con il nuovo Outlook, Microsoft si attribuisce poteri eccessivi su tutti i dati di posta elettronica collegati tramite IMAP. In qualsiasi momento, Microsoft può scansionare la vostra casella di posta elettronica e condividere dati sensibili con terze parti, il tutto a vostra insaputa.
Non solo le credenziali di accesso e i messaggi di posta elettronica vengono condivisi da Outlook con i server Microsoft, ma anche tutti i contatti futuri o gli eventi del calendario che potreste creare nell’applicazione. Quando si accede al nuovo Outlook si concede a Microsoft un accesso illimitato al proprio account di posta elettronica.
Come affermano gli sviluppatori di XDA: Il nuovo client Outlook non è più un “client”, ma un involucro attorno ai servizi cloud di Microsoft. I vostri dati, comprese le vostre password, non sono più memorizzati localmente nel client Outlook, ma archiviati sui server di Microsoft e recuperati localmente.
I dati condivisi sono protetti dalla crittografia?
In qualità di esperti di sicurezza, ci aspetteremmo che la condivisione di questi dati sia ovviamente protetta da una crittografia Ende-zu-Ende. Tuttavia, come hanno scoperto i giornalisti tecnologici tedeschi, questo non è il caso del nuovo Outlook.
Mentre i dati vengono inviati ai server di Microsoft con protezione TLS, i dati vengono inviati in chiaro. La rivista tecnologica tedesca c’t della casa editrice Heise ha eseguito un test durante la configurazione di una nuova connessione IMAP/SMTP e ha pubblicato la seguente terrificante immagine dei risultati ottenuti:
Schermata del codice: Outlook condivide i dati non criptati con il cloud Microsoft.
Il team di Heise.de ha contattato Microsoft per un commento sul grave problema di sicurezza del nuovo Outlook, ma non ha ricevuto alcuna risposta dal campus di Redmond, WA.
Questo è stato un vero shock per gli esperti informatici di Heise. Se anche voi la pensate così, potete iniziare a cercare un nuovo provider di posta elettronica consultando il confronto tra Outlook e Gmail o, ancora meglio per la vostra privacy e sicurezza, il confronto tra Outlook e Tuta Mail.
Perché dovreste essere allarmati
Al di là del fatto che l’invio di password a un server centrale è una pessima idea e la peggiore sicurezza possibile, quali sono le minacce che potrebbero derivare dalla sincronizzazione di tutte le e-mail, gli eventi del calendario e i contatti con i server di Microsoft?
Prima di tutto, si tratta di un problema di fiducia. Microsoft è un’azienda americana e rientra nella giurisdizione degli Stati Uniti. Non è noto il loro grado di collaborazione con le forze dell’ordine e le agenzie di intelligence, ma esistono già prove del fatto che le società di Big Tech sono desiderose di collaborare con le agenzie governative. Questo è estremamente preoccupante, dato che gli Stati Uniti fanno parte dell’Alleanza Five Eyes.
Negli Stati Uniti sono noti diversi scandali in cui le grandi aziende tecnologiche hanno condiviso fin troppo volentieri i dati sensibili degli utenti con le autorità. Ad esempio, nel 2016 è stata sconvolta dalla notizia che Yahoo ha dato accesso a tutti i suoi account di posta elettronica alle autorità statunitensi, e nei primi anni 2000 AT&T avrebbe costruito e gestito una sala di intercettazione delle telecomunicazioni per l’NSA nelle sue strutture, nota come Room 641A.
Non sappiamo se Microsoft stia agendo in modo simile, ma senza leggi forti sulla privacy e una crittografia Ende-zu-Ende nessuno può essere sicuro che i dati sensibili dei clienti siano al sicuro sui server statunitensi di Microsoft.
Oltre alla minaccia della sorveglianza da parte degli Stati nazionali, non sappiamo nemmeno in che misura Microsoft possa collaborare con gli intermediari di dati per raccogliere e vendere i dati degli utenti. Ma a giudicare dal nuovo pop-up dell’informativa sulla privacy che viene mostrato ai clienti europei nel nuovo Outlook per Windows, la condivisione dei dati è estesa e crescerà ulteriormente.
Negli Stati Uniti d’America, vale la pena di considerare anche la dottrina delle terze parti. La dottrina delle terze parti negli Stati Uniti dichiara che se si inviano volontariamente informazioni a terze parti, ad esempio ai provider di posta elettronica, non si può avere “alcuna ragionevole aspettativa di privacy” su tali informazioni. Poiché negli Stati Uniti non esiste una legislazione simile al GDPR europeo - che garantisce agli europei che i loro dati personali devono essere protetti dalle aziende tecnologiche - i dati che le persone condividono con Microsoft non sono al riparo dalle autorità statunitensi. Potenzialmente possono essere ottenuti anche senza un mandato legale o un altro controllo giudiziario.
Questo è inaccettabile.
Cosa significa per le aziende
Ogni azienda ha i propri casi d’uso e i propri requisiti di sicurezza. Cosa significa per le aziende utilizzare il nuovo Outlook?
Con una suite di software per aziende di lunga data, è improbabile che tutti abbandonino Microsoft Office a favore di una soluzione libera e open source come LibreOffice. Alcune aziende, in particolare quelle che gestiscono informazioni sensibili, devono considerare cosa significhino questi cambiamenti di Outlook di Microsoft per la privacy dei loro clienti.
Per le aziende e le organizzazioni che operano all’interno dell’UE, sarà necessario esaminare attentamente le leggi sulla privacy GDPR per determinare se questo aggiornamento è compatibile con gli standard sulla privacy dell’UE.
Per gli studi medici che operano negli Stati Uniti, la conformità alla normativa HIPAA sarà una delle principali preoccupazioni. Consegnando i dati di accesso alla posta elettronica a Microsoft, si concede al gigante tecnologico l’accesso potenziale a informazioni sensibili sui pazienti.
Anche il furto di proprietà intellettuale (IP) rappresenta una minaccia interessante: se tra i contenuti archiviati nell’ambiente cloud di Microsoft sono presenti informazioni sensibili sulla proprietà intellettuale, l’azienda dovrà valutare il rischio rappresentato da una violazione o dall’esposizione dei dati aziendali.
In sintesi, dobbiamo chiederci: le e-mail di Outlook sono private e sicure? Microsoft vanta diverse funzioni di crittografia per proteggere le e-mail di Outlook, in particolare per i clienti aziendali, ma con questo nuovo aggiornamento Outlook non può più essere considerato privato e sicuro.
Ricordate sempre che un server cloud è solo il computer di qualcun altro. Se i vostri dati non sono crittografati in modo sicuro Ende-zu-Ende in transito e a riposo, allora non sono sicuri nemmeno su quel server.
Attivare la privacy
Cosa può fare l’utente medio di Internet di fronte a questi cambiamenti invasivi che riguardano non solo la sicurezza ma anche la privacy?
Il primo passo è smettere di scegliere Outlook per uso personale. Esistono molte soluzioni open source per proteggere le e-mail, gli eventi del calendario e gli elenchi di contatti.
Tuta Mail offre tutte queste funzionalità e molto altro ancora, con una crittografia Ende-zu-Ende completa di tutti i vostri dati e non abbiamo mai accesso alle vostre credenziali di accesso.
Tuta Mail consente di utilizzare un numero illimitato di indirizzi e-mail con il proprio dominio personalizzato, mentre Outlook non supporta più i domini personalizzati per gli utenti privati.
Il passo successivo sarebbe quello di sollevare questi problemi con gli amici, i colleghi di lavoro e lo studio medico. Spargendo la voce che esistono ottime alternative alle Big Tech che rispettano la privacy, possiamo tutti lottare per rendere il nostro futuro digitale uno spazio più sicuro, protetto e libero.
Noi di Tuta ci impegniamo a costruire un Internet migliore, in cui la vostra privacy sia protetta di default.
Registratevisubito per un account e-mail privato e sicuro.