Электронная почта, контакты, пароли - о, Боже! Новый Outlook делится всем этим с Microsoft, подвергая вашу безопасность риску

Новый Outlook для Windows от Microsoft делится всеми вашими данными со своими северами - и с 813 партнерами.

Outlook on Windows now shares your email addresses and passwords with Microsoft servers - a huge security risk!

Последняя версия почтового клиента Outlook от Microsoft дебютировала в сентябре 2023 года, и эксперты по безопасности и конфиденциальности обеспокоены: Американский технологический гигант собирает больше данных о своих пользователях, чем когда-либо, и делится ими с постоянно растущей партнерской сетью. Но еще хуже обстоят дела с безопасностью: Новый Outlook для Windows - это уже не почтовый клиент, а обертка для "облака" Microsoft 365, которое делится не только незашифрованным содержимым вашего почтового ящика, списками контактов и событиями календаря, но и конфиденциальной информацией для входа, например паролями, со своими серверами, расположенными в США.


Делится ли MS Outlook вашими паролями?

Немецкий технический сайт Heise в ноябре 2023 года спровоцировал скандал, обнаружив, что новый Outlook, который заменяет почтовое приложение в Windows, передает пароли пользователей на американские серверы Microsoft.

Это заставило власти обратить внимание на ситуацию, поскольку предупреждения о том, что новый Outlook для Windows передает ваши пароли и другую конфиденциальную информацию, не могли быть проигнорированы из-за серьезных последствий для безопасности. Это особенно тревожно, в том числе и для национальной безопасности, если вспомнить, что почти все правительственные организации от Германии до США используют корпоративную среду Windows. В связи с этим федеральный комиссар Германии по защите данных и свободе информации Ульрих Кельбер (Ulrich Kelber) заявил на сайте Mastodon:

“Сообщения о предполагаемом сборе данных компанией MS через Outlook вызывают тревогу. Мы попросим ирландских уполномоченных по защите данных, которые несут юридическую ответственность за это, представить отчет на встрече европейских органов по надзору за защитой данных во вторник”.

Несмотря на то что ирландские чиновники пока не сделали никаких заявлений по поводу проблемы безопасности паролей электронной почты Microsoft, стоит подробнее разобраться в том, как новый Outlook для Windows передает ваши пароли, что это значит для вашей безопасности и как вы можете защитить себя от слишком агрессивного сбора данных Microsoft.

Итак, давайте рассмотрим обновление Outlook поближе: что происходит под капотом, что представляет угрозу для нашей конфиденциальности и онлайн-безопасности?

Агрессивный сбор данных

Со своим последним обновлением Outlook идет по стопам таких технологических гигантов Кремниевой долины, как Google (Alphabet), Facebook (Meta) и Apple, собирая все больше и больше данных. Очевидно, Microsoft поняла, что данные - это новая нефть и что она может значительно увеличить свои доходы, используя то, что у нее уже есть: огромные объемы данных от миллиарда личных, деловых и государственных клиентов по всему миру.

Сбор и анализ пользовательских данных становится все более прибыльным делом, особенно сейчас, когда Microsoft инвестировала значительные средства в OpenAI, самую известную на сегодняшний день компанию в области искусственного интеллекта.

В 2012 году, когда Google изменил свою политику конфиденциальности, что позволило крупным технологиям собирать данные о пользователях, Microsoft оплатила рекламу в газетах, подчеркивающую ее собственную защиту конфиденциальности по сравнению с Google.

Теперь, более десяти лет спустя, Microsoft поняла, что конфиденциальность не приносит денег, а вот сбор данных, профилирование пользователей и персонализированная реклама - да. Печально видеть, что такие компании, как Microsoft и Apples, которые раньше выступали за приватность (см. эту рекламу iPhone в 2020 году), теперь также обратились к сбору данных для увеличения доходов.

Похоже, что в технологическом секторе все, что имеет значение, - это рост акционерной стоимости. А поскольку на таком насыщенном рынке, как США и Европа, если эти компании не могут продать больше iPhone или больше компьютеров с Windows, им приходится обращаться к сбору данных и персонализированной рекламе.

Растущая партнерская сеть

Поэтому нет ничего удивительного в том, что новый Outlook для Windows делится данными с сотнями третьих сторон, как указано в его политике конфиденциальности.

Благодаря европейскому GDPR компания Microsoft не может скрывать от европейских пользователей информацию о чрезмерном обмене данными. Если вы находитесь в ЕС и впервые используете новый Outlook для Windows на новом компьютере, вам будет предложено получить эту информацию через запрос cookie:

Мы и 772 третьих лица обрабатываем данные для: хранения и/или доступа к информации на вашем устройстве, разработки и улучшения продуктов, персонализации рекламы и контента, измерения рекламы и контента, получения информации об аудитории, получения точных геолокационных данных и идентификации пользователей с помощью сканирования устройств. Некоторые третьи лица могут обрабатывать ваши данные на основании своих законных интересов. Вы можете воспользоваться своим правом на согласие или возражение в любое время, выбрав ссылку “Управление предпочтениями” ниже или через настройки Outlook. Нажав кнопку “Принять все”, вы соглашаетесь с использованием этих технологий и обработкой ваших данных в этих целях при использовании Outlook.

Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads... Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads...

Увидев этот запрос, важно не нажать его быстро и случайно не нажать кнопку “Принять все”. Если вы это сделаете, то позволите Microsoft передавать множество ваших личных данных своей растущей партнерской сети для различных целей, некоторые из которых могут напугать любого человека, склонного к конфиденциальности. Приняв все, вы соглашаетесь с анализом и отслеживанием данных, включая:

  • Отображение персонализированной рекламы
  • получение информации об аудитории
  • Хранить данные о вашей геолокации
  • доступ к данным о вашем устройстве
  • идентифицировать вас с помощью сканирования устройства.

Поэтому, увидев всплывающий запрос на разрешение обмена данными, не забудьте нажать кнопку Отклонить все!

Во-первых, вы не захотите, чтобы Microsoft делилась вашими конфиденциальными личными данными с сотнями рекламодателей и брокеров данных, а во-вторых, ее партнерская сеть постоянно растет. Похоже, что обмен данными Microsoft с третьими сторонами - довольно прибыльный шаг, поскольку предупреждение о cookie теперь обновлено и теперь компания делится данными с “813 партнерами”. Кто знает, сколько еще партнеров получат ваши данные в будущем, если вы дадите согласие на обмен?

Screenshot of Outlook's new cookie warning has updated to 813 partners Screenshot of Outlook's new cookie warning has updated to 813 partners

Вхождение в пятерку крупнейших рекламодателей

С увеличением масштабов обмена данными стало очевидно одно: Microsoft на пути к тому, чтобы войти в пятерку крупнейших онлайн-рекламодателей.

Уже в 2022 году глава подразделения Microsoft Ads Роб Уилк заявил в интервью, что американский технологический гигант планирует удвоить свои рекламные доходы на 20 миллиардов долларов. Теперь мы видим, как этот план воплощается в жизнь.

С выпуском нового Outlook для Windows в сентябре 2023 года Microsoft сделала последний шаг к вхождению в пятерку крупнейших рекламодателей: Alphabet (Google), Meta (Facebook), Apple, Amazon, а теперь еще и Microsoft.

Еще раньше люди на Reddit жаловались, что Outlook маскирует рекламу под электронные письма - точно так же, как Gmail теперь показывает рекламу прямо в папке “Входящие”:

Screenshot from an Outlook inbox with ads disguised as emails. Screenshot from an Outlook inbox with ads disguised as emails.

И хотя в этом нет ничего нового, машина рекламы станет еще сильнее с новым Outlook. Реклама, которую впихивают пользователям Outlook, касается либо собственных продуктов Microsoft, либо продуктов сторонних производителей, которые Microsoft продает своим партнерам.

Хотя Microsoft может позволить вам пользоваться Outlook бесплатно, она монетизирует вас, продавая ваше время и внимание третьим лицам. Это похоже на то, что делают другие крупные технологические сервисы, такие как Google и Facebook, но в новом Outlook обмен данными приобретает совершенно новые масштабы.

Помимо обмена данными с третьими лицами, от которого вы можете активно отказаться, новый Outlook также будет передавать конфиденциальные данные, такие как пароли, на свои облачные серверы, если вы используете функцию синхронизации Microsoft. Это вызывает еще большее беспокойство, поскольку несет в себе серьезную угрозу безопасности, которая может привести к атакам с подстановкой учетных данных, поскольку все ваши пароли будут храниться на одном центральном сервере: Microsoft.

Эта информация стала шоком для людей, склонных к безопасности, и удаление учетных записей Outlook стало тенденцией.

Но прежде чем вы решите, можно ли доверять Microsoft свой личный почтовый ящик, давайте разберемся с тем, как Outlook делится вашими данными, чтобы понять, что именно происходит!

Проблема безопасности: Как новый Outlook делится данными

Новый MS Outlook для Windows - это не локальный почтовый клиент, каким мы его знали раньше. Новая версия выступает в качестве шлюза в облачную среду Microsoft. Чтобы синхронизировать электронную почту от провайдеров, не принадлежащих Microsoft, с вашими устройствами, Microsoft будет запрашивать и хранить на своих серверах учетные данные IMAP и SMTP для каждой учетной записи электронной почты.

При добавлении учетной записи в новый Outlook пользователей встречает несколько пугающее предупреждение о необходимости делиться информацией. В сообщении говорится, что для подключения учетной записи IMAP Outlook необходимо синхронизировать электронную почту с облаком Microsoft. Хотя существующие контакты и события календаря могут не передаваться в Microsoft, все новые добавления, которые вы сделаете в Outlook, будут также храниться в облаке Microsoft.

В деталях сообщение, отображаемое в Outlook, гласит:

“Что происходит при синхронизации учетной записи с “облаком” Microsoft? Синхронизация учетной записи с “облаком” Microsoft означает, что копия вашей электронной почты, календаря и контактов будет синхронизироваться между поставщиком услуг электронной почты и центрами обработки данных Microsoft. Наличие данных почтового ящика в “облаке” Microsoft позволяет использовать новые функции клиента Outlook (New Outlook для Windows, Outlook для i0S, Outlook для Android, Outlook.com или Outlook для Mac) с учетной записью, не принадлежащей Microsoft, так же, как и с учетными записями Microsoft”.

Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud. Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud.

Как говорится в предупреждении, общие данные могут включать даже ваши учетные данные, например пароли, что делает ключи к вашей цифровой жизни доступными для американского технологического гиганта. С новым Outlook компания Microsoft наделяет себя чрезмерными полномочиями в отношении всех данных вашей электронной почты, подключенной через IMAP. В любой момент Microsoft может просканировать ваш почтовый ящик и передать конфиденциальные данные третьим лицам - и все это без вашего ведома.

Из Outlook на серверы Microsoft передаются не только ваши учетные данные для входа в систему и электронная почта, но и все будущие контакты или события календаря, которые вы можете создать в этом приложении. При входе в новый Outlook вы предоставляете Microsoft неограниченный доступ к своей учетной записи электронной почты.

Как утверждают разработчики XDA Developers: Новый клиент Outlook - это уже не “клиент”, а обертка вокруг облачных сервисов Microsoft. Ваши данные, включая пароли, больше не хранятся локально в клиенте Outlook, а хранятся на серверах Microsoft и извлекаются локально.

Защищены ли общие данные с помощью шифрования?

Как эксперты по безопасности, мы ожидаем, что обмен этими данными, конечно же, будет надежно зашифрован из конца в конец. Однако, как выяснили немецкие технические журналисты, в новом Outlook это не так.

Хотя данные отправляются на серверы Microsoft с защитой TLS, они передаются в открытом виде. Немецкий технический журнал c’t издательства Heise провел тест при настройке нового IMAP/SMTP-соединения и опубликовал следующее ужасающее изображение результатов:

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud. Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

Скриншот кода: Outlook делится незашифрованными данными с “облаком” Microsoft.

Команда Heise.de обратилась в Microsoft за комментарием по поводу серьезных проблем с безопасностью нового Outlook, учитывая эти результаты, но ответа от кампуса в Редмонде, штат Вашингтон, пока не последовало.

Для IT-экспертов Heise это стало настоящим шоком. Если вы чувствуете то же самое, вы можете начать поиск нового поставщика услуг электронной почты, просмотрев сравнение Outlook и Gmail или - что еще лучше для вашей конфиденциальности и безопасности - сравнение Outlook и Tuta Mail.

Почему вам стоит насторожиться

Помимо того, что отправка паролей на центральный сервер - это ужасная идея и наихудший вариант безопасности, какие угрозы может представлять синхронизация всех ваших электронных писем, событий календаря и контактов с серверами Microsoft?

Прежде всего, это вопрос доверия. Microsoft - американская компания и находится под юрисдикцией США. Степень их сотрудничества с правоохранительными и разведывательными органами неизвестна, но уже есть свидетельства того, что крупные технологические компании охотно идут на сотрудничество с правительственными агентствами. Это очень тревожно, поскольку США входят в альянс “Пять глаз”.

В США известно несколько скандалов, когда крупные технологические компании слишком охотно делились с властями конфиденциальными данными пользователей. Например, в 2016 году США были потрясены новостью о том, что Yahoo предоставила американским властям доступ ко всем своим почтовым аккаунтам, а в начале 2000-х годов компания AT&T, по некоторым данным, построила и эксплуатировала комнату для перехвата телекоммуникаций АНБ на своих объектах, известную как Room 641A.

Door of room 641A at AT&T Door of room 641A at AT&T Это дверь в комнату 641A в AT&T, где АНБ перехватывало данные о связи.

Мы не знаем, действует ли Microsoft аналогичным образом, но без жестких законов о конфиденциальности и сквозного шифрования никто не может быть уверен, что конфиденциальные данные клиентов находятся в безопасности на американских серверах Microsoft.

Помимо угрозы слежки со стороны национальных государств, мы также не знаем, в какой степени Microsoft может сотрудничать с брокерами данных для сбора и продажи пользовательских данных. Но, судя по новому всплывающему окну с политикой конфиденциальности, которое показывается европейским пользователям в новом Outlook для Windows, обмен данными широко распространен и будет расти еще больше.

В Соединенных Штатах Америки также стоит обратить внимание на доктрину третьей стороны. Доктрина третьей стороны в США гласит, что если вы добровольно передаете информацию третьим лицам, например, поставщикам электронной почты, то у вас не может быть “разумных ожиданий конфиденциальности” в отношении этой информации. Поскольку в США нет законодательства, аналогичного европейскому GDPR, которое гарантирует европейцам защиту личных данных со стороны технологических компаний, данные, которыми люди делятся с Microsoft, не защищены от американских властей. Потенциально они могут быть получены даже без судебного ордера или другого судебного надзора.

Это неприемлемо.

Что это значит для бизнеса

У каждого предприятия есть свои уникальные сценарии использования и требования к безопасности. Что означает использование нового Outlook для бизнеса?

Вряд ли все, кто давно пользуется пакетом программ для бизнеса, откажутся от Microsoft Office в пользу бесплатного решения с открытым исходным кодом, например LibreOffice. Некоторые компании, особенно те, которые работают с конфиденциальной информацией, должны подумать о том, как эти изменения в Outlook от Microsoft повлияют на конфиденциальность их клиентов или заказчиков.

Компаниям и организациям, работающим на территории ЕС, необходимо тщательно изучить законы о конфиденциальности GDPR, чтобы определить, совместимо ли это обновление со стандартами конфиденциальности ЕС.

Для медицинских организаций, работающих на территории США, большое значение будет иметь соблюдение HIPAA. Передавая Microsoft данные для входа в электронную почту, вы предоставляете технологическому гиганту потенциальный доступ к конфиденциальной информации о пациентах.

Интересную угрозу представляет и кража интеллектуальной собственности (ИС): если в контенте, который вы храните в “облачной” среде Microsoft, содержится какая-либо чувствительная к ИС информация, вашему предприятию придется оценить риск, связанный с утечкой или раскрытием данных вашей компании.

Подводя итог, мы должны спросить себя, является ли электронная почта Outlook частной и безопасной? Microsoft может похвастаться различными функциями шифрования для защиты электронной почты Outlook, особенно для бизнес-клиентов, но с новым обновлением Outlook больше не может считаться частным и безопасным.

Всегда помните, что “облачный” сервер - это всего лишь чужой компьютер. Если ваши данные не защищены сквозным шифрованием при передаче и в состоянии покоя, то они не защищены и на этом сервере.

Включить конфиденциальность

Что может сделать обычный пользователь Интернета перед лицом этих инвазивных изменений, которые затрагивают не только вашу безопасность, но и вашу конфиденциальность?

Первым шагом будет отказ от использования Outlook в личных целях. Существует множество решений с открытым исходным кодом для защиты вашей электронной почты, событий календаря и списков контактов.

Tuta Mail предоставляет все эти функции и даже больше, обеспечивая полное сквозное шифрование всех ваших данных, и мы никогда не получим доступ к вашим учетным данным.

Tuta Mail позволяет использовать неограниченное количество адресов электронной почты с собственным доменом, в то время как Outlook больше не поддерживает домены для частных пользователей.

Следующим шагом будет рассказать об этих проблемах друзьям, коллегам и врачу. Распространяя информацию о том, что существуют отличные альтернативы Big Tech, уважающие конфиденциальность, мы все можем бороться за то, чтобы наше цифровое будущее стало более надежным, безопасным и свободным.

Мы в Tuta стремимся создать лучший Интернет, в котором ваша конфиденциальность будет защищена по умолчанию.

Зарегистрируйте частную и безопасную учетную запись электронной почты прямо сейчас.