Emails, contactos, palavras-passe - Oh, meu Deus! O novo Outlook partilha tudo com a Microsoft, colocando a sua segurança em risco

O novo Outlook para Windows da Microsoft partilha todos os seus dados com os seus servidores - e com até 813 parceiros.

Outlook on Windows now shares your email addresses and passwords with Microsoft servers - a huge security risk!

A última versão do cliente de correio eletrónico da Microsoft, o Outlook, foi lançada em setembro de 2023 e preocupa os especialistas em segurança e privacidade: O gigante tecnológico americano está a recolher mais dados do que nunca dos seus utilizadores - e a partilhá-los com uma rede de parceiros cada vez maior. Mas os problemas de segurança são ainda piores: O novo Outlook para Windows já não é um cliente de correio eletrónico, mas um invólucro para a nuvem 365 da Microsoft que partilha não só o conteúdo não encriptado da sua caixa de correio, listas de contactos e eventos do calendário, mas também informações de início de sessão sensíveis, como palavras-passe, com os seus servidores localizados nos EUA.


O MS Outlook partilha as suas palavras-passe?

O site alemão de tecnologia Heise provocou um escândalo em novembro de 2023, revelando que o novo Outlook, que está a substituir a aplicação de correio no Windows, partilha as palavras-passe dos utilizadores com os servidores americanos da Microsoft.

Esta situação levou as autoridades a entrar em cena, uma vez que os avisos sobre o novo Outlook para Windows que partilha as suas palavras-passe e outras informações sensíveis não podiam ser ignorados devido às graves implicações em termos de segurança. Isto é particularmente preocupante, também para a segurança nacional, se pensarmos que quase todas as organizações governamentais, da Alemanha aos EUA, estão a utilizar um ambiente empresarial Windows. Consequentemente, o Comissário Federal Alemão para a Proteção de Dados e Liberdade de Informação, Ulrich Kelber, declarou no Mastodon:

“Os relatos de suspeita de recolha de dados pela MS através do Outlook são alarmantes. Vamos pedir aos comissários irlandeses para a proteção de dados, que são legalmente responsáveis por isto, um relatório na reunião das autoridades europeias de supervisão da proteção de dados, na terça-feira”.

Embora pareça que, até à data, as autoridades irlandesas não tenham emitido quaisquer declarações sobre a questão da segurança das palavras-passe de correio eletrónico da Microsoft, vale a pena analisar mais aprofundadamente a forma como o novo Outlook para Windows partilha as suas palavras-passe, o que isto significa para a sua segurança e como se pode proteger da recolha excessivamente agressiva de dados pela Microsoft.

Vamos então analisar mais detalhadamente a atualização do Outlook: o que é que está a acontecer nos bastidores que representa uma ameaça à nossa privacidade e segurança online?

Recolha agressiva de dados

Com a sua última atualização, o Outlook está a seguir os passos dos gigantes tecnológicos de Silicon Valley, como a Google (Alphabet), o Facebook (Meta) e a Apple, recolhendo cada vez mais dados. Obviamente, a Microsoft aprendeu que os dados são o novo petróleo e que pode aumentar tremendamente as suas receitas tirando partido do que já possui: grandes quantidades de dados dos seus mil milhões de clientes pessoais, empresariais e do sector público em todo o mundo.

A recolha e análise de dados dos utilizadores tornou-se cada vez mais lucrativa, especialmente agora que a Microsoft investiu fortemente na OpenAI, a empresa de inteligência artificial mais proeminente da atualidade.

Em 2012, quando a Google alterou a sua política de privacidade, permitindo que a grande tecnologia recolhesse dados dos utilizadores, a Microsoft pagou anúncios em jornais sublinhando as suas próprias protecções de privacidade em comparação com a Google.

Agora, mais de uma década depois, a Microsoft aprendeu que a privacidade não traz dinheiro, mas a recolha de dados, a definição de perfis de utilizadores e os anúncios personalizados sim. É triste ver que empresas como a Microsoft e a Apple, que costumavam defender a privacidade (ver este anúncio do iPhone de 2020), agora também se voltaram para a recolha de dados para aumentar as receitas.

Na tecnologia, parece que tudo o que conta é o aumento do valor para os accionistas. E como num mercado saturado como o dos EUA e da Europa, se estas empresas não conseguem vender mais iPhones ou mais computadores Windows, têm de recorrer à recolha de dados e a anúncios personalizados.

Rede de parceiros em crescimento

Por isso, não é de estranhar que o novo Outlook para Windows partilhe dados com centenas de terceiros, tal como consta da sua política de privacidade.

Graças ao GDPR europeu, a Microsoft não pode esconder a informação sobre a sua partilha excessiva de dados dos utilizadores europeus. Se estiver na UE e utilizar o novo Outlook para Windows pela primeira vez num novo PC, ser-lhe-ão solicitadas estas informações através de um pedido de cookie:

Nós e 772 terceiros processamos dados para: armazenar e/ou aceder a informações no seu dispositivo, desenvolver e melhorar produtos, personalizar anúncios e conteúdos, medir anúncios e conteúdos, obter informações sobre o público, obter dados de geolocalização precisos e identificar utilizadores através da digitalização de dispositivos. Alguns terceiros podem processar os dados do utilizador com base no seu interesse legítimo. O utilizador pode exercer o seu direito de consentimento ou objeção em qualquer altura, seleccionando a ligação Gerir preferências abaixo ou através das definições do Outlook. Ao clicar no botão Aceitar tudo, o utilizador concorda com a utilização destas tecnologias e com o processamento dos seus dados para estes fins enquanto utiliza o Outlook.

Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads... Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads...

Ao ver este pedido, é importante não clicar nele rapidamente e premir acidentalmente “Aceitar tudo”. Se o fizer, permitirá que a Microsoft partilhe muitos dos seus dados pessoais com a sua crescente rede de parceiros para vários fins, alguns dos quais podem assustar qualquer pessoa preocupada com a privacidade. Ao aceitar tudo, o utilizador concorda com a análise e o rastreio de dados, incluindo:

  • Apresentar anúncios personalizados
  • Obter informações sobre o público
  • Armazenar os seus dados de geolocalização
  • Aceder a dados no seu dispositivo
  • Identificá-lo através do rastreio do dispositivo

Por isso, mais uma vez, quando vir aparecer este pedido para permitir a partilha de dados: certifique-se de que clica em Rejeitar tudo!

Em primeiro lugar, não vai querer que a Microsoft partilhe os seus dados pessoais sensíveis com centenas de anunciantes e corretores de dados e, em segundo lugar, a sua rede de parceiros está em constante crescimento. A partilha de dados da Microsoft com terceiros parece ser um passo bastante lucrativo, uma vez que o aviso de cookies foi agora atualizado para a partilha de dados com “813 parceiros”. Quem sabe quantos mais parceiros irão deitar a mão aos seus dados no futuro, caso autorize a partilha?

Screenshot of Outlook's new cookie warning has updated to 813 partners Screenshot of Outlook's new cookie warning has updated to 813 partners

Juntar-se aos 5 principais anunciantes

Com esta crescente partilha de dados, uma coisa tornou-se óbvia: a Microsoft está a caminho de se tornar um dos cinco maiores anunciantes online.

Já em 2022, o chefe da Microsoft Ads, Rob Wilk, afirmou numa entrevista que o gigante tecnológico norte-americano planeia duplicar as suas receitas publicitárias em 20 mil milhões de dólares. Agora, estamos a ver este plano ser posto em prática.

Com o lançamento do novo Outlook para Windows em setembro de 2023, a Microsoft completou o último passo para se juntar aos cinco principais anunciantes: Alphabet (Google), Meta (Facebook), Apple, Amazon e agora também a Microsoft.

Já antes as pessoas no Reddit se tinham queixado de que o Outlook disfarçava os anúncios como e-mails - tal como o Gmail está agora a mostrar anúncios diretamente na sua caixa de entrada:

Screenshot from an Outlook inbox with ads disguised as emails. Screenshot from an Outlook inbox with ads disguised as emails.

Portanto, embora isto não seja nada de novo, a máquina de anúncios vai ficar ainda mais forte com o novo Outlook. Os anúncios que estão a ser empurrados para os utilizadores do Outlook são sobre os próprios produtos da Microsoft ou sobre produtos de terceiros vendidos pela Microsoft aos seus parceiros.

Embora a Microsoft possa permitir que o utilizador utilize o Outlook gratuitamente, ela rentabiliza-o vendendo o seu tempo e atenção a terceiros. Isto é semelhante ao que outros grandes serviços tecnológicos como o Google e o Facebook estão a fazer, mas com o novo Outlook a partilha de dados está a explorar dimensões completamente novas.

Além da partilha de dados com terceiros - que pode rejeitar ativamente - o novo Outlook também partilha dados sensíveis, como palavras-passe, com os seus servidores na nuvem, se utilizar a funcionalidade de sincronização da Microsoft. Isto é ainda mais preocupante porque contém um grave risco de segurança, que pode levar a ataques de preenchimento de credenciais, uma vez que todas as suas palavras-passe serão armazenadas num servidor central: o da Microsoft.

Esta informação foi um choque para as pessoas preocupadas com a segurança e a eliminação de contas do Outlook tornou-se uma tendência.

Mas antes de decidir se ainda pode confiar na Microsoft com a sua caixa de correio pessoal, vamos dar um mergulho técnico profundo na forma como o Outlook partilha os seus dados para compreender o que se passa exatamente!

Problema de segurança: Como o novo Outlook partilha os dados

O novo MS Outlook para Windows não é o cliente de correio eletrónico local como o conhecíamos anteriormente. A nova versão actua como uma porta de entrada para o ambiente de nuvem da Microsoft. Para que os seus e-mails de provedores de e-mail não pertencentes à Microsoft sejam sincronizados com os seus dispositivos, a Microsoft solicitará e armazenará as suas credenciais IMAP e SMTP para cada conta de e-mail nos seus servidores.

Ao adicionar uma conta ao novo Outlook, os utilizadores são recebidos com um aviso algo intimidante sobre a partilha das suas informações. A mensagem diz que, para ligar uma conta IMAP, o Outlook precisa de sincronizar os e-mails com a nuvem da Microsoft. Embora os contactos existentes e os eventos do calendário não possam ser partilhados com a Microsoft, todas as novas adições que fizer no Outlook também serão armazenadas na nuvem da Microsoft.

Em pormenor, a mensagem apresentada no Outlook diz

”O que acontece quando sincronizo a minha conta com a Microsoft Cloud? Sincronizar a sua conta com a Microsoft Cloud significa que uma cópia do seu e-mail, calendário e contactos será sincronizada entre o seu fornecedor de e-mail e os centros de dados da Microsoft. Ter os dados da sua caixa de correio na Microsoft Cloud permite-lhe utilizar as novas funcionalidades do cliente Outlook (Novo Outlook para Windows, Outlook para i0S, Outlook para Android, Outlook.com ou Outlook para Mac) com a sua conta não Microsoft, tal como com as suas contas Microsoft.”

Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud. Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud.

Segundo o aviso, os dados partilhados podem até incluir as suas credenciais de início de sessão, como palavras-passe - o que torna as chaves da sua vida digital disponíveis para o gigante tecnológico americano. Com o novo Outlook, a Microsoft está a dar a si própria poderes excessivos sobre todos os seus dados de correio eletrónico que tenha ligado via IMAP. A qualquer momento, a Microsoft pode analisar a sua caixa de correio e partilhar dados sensíveis com terceiros - tudo isto sem o seu conhecimento.

Não só as suas credenciais de início de sessão e os seus e-mails são partilhados do Outlook com os servidores da Microsoft, mas também quaisquer contactos futuros ou eventos de calendário que possa criar na aplicação. Ao fazer o login no novo Outlook, o utilizador dá à Microsoft acesso ilimitado à sua conta de e-mail.

Como afirma o XDA Developers: O novo cliente Outlook não é mais um “cliente”, mas um invólucro em torno dos serviços de nuvem da Microsoft. Os seus dados, incluindo as suas palavras-passe, já não são armazenados localmente no cliente Outlook, mas sim nos servidores da Microsoft e obtidos localmente.

Os dados partilhados estão protegidos por encriptação?

Como especialistas em segurança, seria de esperar que a partilha destes dados fosse, obviamente, encriptada de forma segura de ponta a ponta. No entanto, como os jornalistas tecnológicos alemães descobriram, este não é o caso do novo Outlook.

Embora os dados sejam enviados para os servidores da Microsoft com proteção TLS, os dados são enviados em texto simples. A revista tecnológica alemã c’t da editora Heise fez um teste ao configurar uma nova ligação IMAP/SMTP e publicou a seguinte imagem aterradora dos seus resultados:

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud. Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

Captura de ecrã do código: O Outlook partilha os seus dados não encriptados com a nuvem da Microsoft.

A equipa do Heise.de contactou a Microsoft para obter comentários sobre o grave problema de segurança do novo Outlook, tendo em conta estas descobertas, mas não houve qualquer resposta do campus em Redmond, WA.

Isto foi um verdadeiro choque para os especialistas em TI da Heise. Se pensa da mesma forma, pode começar a procurar um novo fornecedor de correio eletrónico consultando a comparação entre o Outlook e o Gmail ou - ainda melhor para a sua privacidade e segurança - a comparação entre o Outlook e o Tuta Mail.

Porque é que deve ficar alarmado

Para além do facto de o envio de palavras-passe para um servidor central ser uma péssima ideia e a pior segurança possível, que ameaças podem ser colocadas pela sincronização de todos os seus e-mails, eventos do calendário e contactos com os servidores da Microsoft?

Antes de mais, trata-se de uma questão de confiança. A Microsoft é uma empresa americana e está sob a jurisdição dos EUA. Desconhece-se o seu grau de cooperação com as autoridades policiais e as agências de informação, mas já existem provas de que as grandes empresas de tecnologia estão ansiosas por se aproximar das agências governamentais. Este facto é extremamente preocupante, uma vez que os EUA fazem parte da Aliança dos Cinco Olhos.

Nos EUA, são conhecidos vários escândalos em que as grandes empresas de tecnologia partilharam dados sensíveis dos utilizadores com as autoridades com demasiada boa vontade. Por exemplo, em 2016, ficámos chocados com a notícia de que a Yahoo deu acesso a todas as suas contas de correio eletrónico às autoridades americanas e, no início dos anos 2000, a AT&T terá construído e operado uma sala de interceção de telecomunicações para a NSA nas suas instalações, conhecida como Sala 641A.

Door of room 641A at AT&T Door of room 641A at AT&T Esta é a porta da sala 641A da AT&T, onde a NSA interceptava dados de comunicações.

Não sabemos se a Microsoft está a agir de forma semelhante, mas sem leis de privacidade fortes e encriptação de ponta a ponta, ninguém pode ter a certeza de que os dados sensíveis dos clientes estão seguros nos servidores da Microsoft nos EUA.

Para além da ameaça de vigilância por parte do Estado-nação, também não sabemos até que ponto a Microsoft pode estar a trabalhar com corretores de dados para recolher e vender dados de utilizadores. Mas, a julgar pelo novo pop-up da política de privacidade que é mostrado aos clientes europeus no novo Outlook para Windows, a partilha de dados é extensa e vai aumentar ainda mais.

Nos Estados Unidos da América, também vale a pena analisar a doutrina dos terceiros. A doutrina dos terceiros nos EUA declara que se o utilizador submeter voluntariamente informações a terceiros, por exemplo, fornecedores de correio eletrónico, não pode ter “nenhuma expetativa razoável de privacidade” em relação a essas informações. Como nos EUA não existe legislação semelhante ao GDPR europeu - que garante aos europeus que os seus dados pessoais devem ser protegidos pelas empresas de tecnologia - os dados que as pessoas partilham com a Microsoft não estão a salvo das autoridades dos EUA. Podem mesmo ser obtidos sem um mandado legal ou outro controlo judicial.

Isto é inaceitável.

O que isto significa para as empresas

Cada empresa tem os seus próprios casos de utilização e requisitos de segurança. O que é que a utilização do novo Outlook significa para as empresas?

Com um conjunto de software de longa data para clientes empresariais, é pouco provável que todos abandonem rapidamente o Microsoft Office em favor de uma solução gratuita e de código aberto como o LibreOffice. Algumas empresas, especialmente as que lidam com informações sensíveis, devem considerar o que estas alterações do Outlook da Microsoft significam para a privacidade dos seus clientes ou consumidores.

Para as empresas e organizações que operam na UE, as leis de privacidade do RGPD terão de ser cuidadosamente examinadas para determinar se esta atualização é compatível com as normas de privacidade da UE.

Para as práticas médicas que operam nos EUA, a conformidade com a HIPAA será uma grande preocupação. Ao entregar as informações de início de sessão do seu correio eletrónico à Microsoft, está a dar ao gigante da tecnologia um potencial acesso a informações sensíveis sobre os pacientes.

O roubo de propriedade intelectual (PI) também representa uma ameaça interessante: se qualquer informação sensível em termos de PI estiver incluída no conteúdo que está a armazenar no ambiente de nuvem da Microsoft, a sua empresa terá de avaliar o risco representado por uma violação ou exposição de qualquer um dos dados da sua empresa.

Resumindo, temos de nos perguntar: os emails do Outlook são privados e seguros? A Microsoft possui várias funcionalidades de encriptação para proteger os seus e-mails do Outlook, especialmente para clientes empresariais, mas com esta nova atualização, o Outlook já não pode ser considerado privado e seguro.

Lembre-se sempre que um servidor de nuvem é apenas o computador de outra pessoa. Se os seus dados não estiverem encriptados de forma segura de ponta a ponta em trânsito e em repouso, então também não estão seguros nesse servidor.

Ativar a privacidade

O que pode o utilizador médio da Internet fazer face a estas alterações invasivas que afectam não só a sua segurança, mas também a sua privacidade?

O nosso primeiro passo seria deixar de escolher o Outlook para uso pessoal. Existem muitas soluções de código aberto para proteger os seus e-mails, eventos do calendário e listas de contactos.

O Tuta Mail fornece todas estas funcionalidades e muito mais com encriptação total de ponta a ponta de todos os seus dados e nunca temos acesso às suas credenciais de início de sessão.

O Tuta Mail permite-lhe utilizar endereços de correio eletrónico ilimitados com o seu próprio domínio personalizado, enquanto o Outlook já não suporta domínios personalizados para utilizadores privados.

O próximo passo seria falar sobre essas preocupações com amigos, colegas de trabalho e o consultório do seu médico. Ao espalhar a palavra de que existem excelentes alternativas à Big Tech que respeitam a privacidade, podemos todos lutar para tornar o nosso futuro digital num espaço mais seguro, protegido e livre.

Nós da Tuta estamos empenhados em construir uma Internet melhor - uma em que sua privacidade seja protegida por padrão.

Inscreva-seagora para obter uma conta de e-mail privada e segura.