Email, contatti e password - Oh My! Nuove quote di Outlook con Microsoft

Quando si utilizza Outlook, i dati sensibili potrebbero non rimanere sul proprio computer, ma essere inviati ai server Microsoft.

2023-11-15
Outlook shares your email addresses and passwords with Microsoft - a huge security risk!
L'ultima versione di Outlook, il colosso dei client di posta elettronica di Microsoft, sta per essere rilasciata e preoccupa gli esperti di sicurezza. Outlook, un punto fermo delle aziende da decenni, è diventato sempre più esigente per quanto riguarda i dati raccolti dai suoi utenti. L'ultimo aggiornamento non cambia lo schema. La nuova versione di Outlook non solo condividerà il contenuto non criptato della casella di posta elettronica, degli elenchi di contatti e degli eventi del calendario, ma potrà anche condividere le informazioni sensibili di accesso con i server Microsoft negli Stati Uniti.

MS Outlook potrebbe condividere le vostre password

Gli avvertimenti sulla condivisione delle password e di altre informazioni sensibili da parte di Outlook si sono intensificati al di là degli utenti di Internet più inclini alla privacy e ora il Commissario federale tedesco per la protezione dei dati e la libertà di informazione, Ulrich Kelber, porterà queste modifiche proposte in discussione con altre organizzazioni di protezione dei dati dell'UE nel corso di questa settimana.

Cosa sta succedendo sotto il cofano che rappresenta una minaccia per la nostra privacy e sicurezza online?

Come MS Outlook condivide i dati

Il nuovo MS Outlook non è il client di posta elettronica locale come lo conoscevamo prima. La nuova versione funge da gateway per l'ambiente cloud di Microsoft. Affinché i messaggi di posta elettronica provenienti da provider non appartenenti a Microsoft possano essere sincronizzati sui dispositivi, Microsoft richiederà e memorizzerà sui propri server le credenziali IMAP e SMTP di ciascun account di posta elettronica.

Quando si aggiunge un account al nuovo Outlook, gli utenti vengono accolti con un avviso un po' intimidatorio sulla condivisione delle informazioni. Il messaggio dice che per collegare un account IMAP, Outlook deve sincronizzare le e-mail con il cloud Microsoft. Sebbene i contatti e gli eventi esistenti non vengano condivisi con Microsoft, tutte le nuove aggiunte effettuate in Outlook verranno archiviate nel cloud Microsoft.

Ciò può includere anche le credenziali di accesso, come le password, che rendono disponibile al gigante tecnologico americano la chiave di accesso alla vostra vita online.

Non solo le credenziali di accesso vengono condivise da Outlook con i server Microsoft, ma anche tutti i contatti futuri o gli eventi del calendario che si potrebbero creare nell'applicazione.

Ma il movimento di questi dati sarà ovviamente criptato in modo sicuro, giusto?

Non proprio. Nonostante l'invio ai server Microsoft con protezione TLS, i dati vengono inviati in chiaro. La rivista tecnologica tedesca c't ha eseguito un test durante la configurazione di una nuova connessione IMAP/SMTP e ha pubblicato la seguente terrificante immagine dei risultati ottenuti:

Screenshot of the code: Outlook shares your data not encrypted with the Microsoft cloud.

Il team di Heise.de ha contattato Microsoft per avere un commento sulla sicurezza di OUtlook in seguito a questi cambiamenti, ma per il momento non c'è stata alcuna risposta dal campus di Redmond, WA.

Perché allarmarsi

Oltre al fatto che l'invio di password in chiaro è un'idea pessima e la peggiore sicurezza possibile, quali altre minacce potrebbero essere poste dalla sincronizzazione di tutte le e-mail, gli eventi del calendario e i contatti sui server di Microsoft?

Si tratta di un problema di fiducia. Microsoft è un'azienda americana e ricade sotto la giurisdizione degli Stati Uniti. Il loro grado di cooperazione con le forze dell'ordine e le agenzie di intelligence non è noto, ma esistono già prove del fatto che le aziende di Big Tech sono desiderose di collaborare con le agenzie governative.

All'inizio degli anni 2000, AT&T ha costruito e gestito una sala di intercettazione delle telecomunicazioni per l'NSA nelle sue strutture, nota come Stanza 641A.

Door of room 641A at AT&T Questa è la porta della stanza 641A dell'AT&T dove l'NSA intercettava i dati delle comunicazioni.

Non sappiamo se Microsoft stia agendo in modo simile, ma senza leggi forti sulla privacy e una crittografia Ende-zu-Ende non possiamo essere sicuri che i nostri dati siano al sicuro.

Oltre alla minaccia della sorveglianza da parte dello Stato nazionale, non sappiamo fino a che punto Microsoft possa collaborare con gli intermediari di dati per raccogliere e vendere i dati degli utenti. Negli Stati Uniti d'America, la dottrina dei terzi dichiara che nel caso di ISP, banche, istituzioni finanziarie e fornitori di servizi di posta elettronica i clienti non hanno "alcuna ragionevole aspettativa di privacy".

Questo è inaccettabile.

Cosa significa per le aziende

Ogni azienda ha un proprio caso d'uso e un proprio ambito di applicazione. Che cosa significa utilizzare il nuovo Outlook per l'utente aziendale medio?

Con una suite di software per aziende di lunga data, è improbabile che tutti abbandonino Microsoft Office a favore di una soluzione libera e open source come LibreOffice. Alcune aziende, in particolare quelle che gestiscono informazioni sensibili, devono considerare cosa significhino questi cambiamenti per la privacy dei loro clienti.

Per le aziende e le organizzazioni che operano all'interno dell'Unione Europea, sarà necessario esaminare attentamente le leggi sulla privacy GDPR per determinare se questo aggiornamento è compatibile con gli standard di privacy dell'UE. Vedremo nei prossimi giorni che tipo di discussione scaturirà dalla spinta di Kelber all'interno del Parlamento europeo.

Per gli studi medici che operano negli Stati Uniti, la conformità all'HIPAA sarà una delle principali preoccupazioni. Consegnando i dati di accesso alla posta elettronica a Microsoft, si concede a quest'ultima il potenziale accesso a informazioni sensibili sui pazienti. Se le password sono state condivise tra l'account di posta elettronica e altri servizi, ciò rappresenta una minaccia ancora maggiore per i pazienti in caso di violazione dei dati.

Anche il furto di IP rappresenta una minaccia interessante. Se tra i contenuti archiviati nell'ambiente cloud di Microsoft sono presenti informazioni sensibili sulla proprietà intellettuale, l'azienda dovrà valutare il rischio di violazione o esposizione dei dati aziendali.

Ricordate sempre che un server cloud è solo il computer di qualcun altro.

Se i dati non sono crittografati in modo sicuro in transito e a riposo, non sono sicuri nemmeno su quel server.

Agite!

Cosa può fare l'utente medio di Internet di fronte a questi cambiamenti invasivi?

Il primo passo è smettere di scegliere Outlook per uso personale e far sapere all'azienda che ci opponiamo a queste pratiche, colpendo il loro portafoglio. Esistono molte soluzioni open source per proteggere le e-mail, gli eventi del calendario e gli elenchi di contatti. Tuta offre tutte queste funzionalità e molto altro ancora, con una crittografia Ende-zu-Ende completa di tutti i vostri dati e non abbiamo mai accesso alle vostre credenziali di accesso.

Consultate anche la nostra recensione sui servizi di posta elettronica privata per vedere quale soddisfa meglio le vostre esigenze.

Il passo successivo sarebbe quello di sollevare questi problemi con amici, colleghi e con lo studio del vostro medico. Spargendo la voce che esistono ottime alternative alle Big Tech che rispettano la privacy, possiamo tutti lottare per rendere il nostro futuro digitale uno spazio più sicuro, protetto e libero.