电子邮件、联系人、密码--哦,我的天!新 Outlook 与微软共享所有信息,威胁你的安全

微软新推出的 Windows 版 Outlook 与其分部以及多达 813 个合作伙伴共享您的所有数据。

Outlook on Windows now shares your email addresses and passwords with Microsoft servers - a huge security risk!

微软电子邮件客户端巨头 Outlook 的最新版本于 2023 年 9 月首次亮相,它引起了安全和隐私专家的关注:这家美国科技巨头正在从用户那里收集比以往更多的数据,并与日益庞大的合作伙伴网络共享。但更糟糕的是它的安全问题:新的 Windows 版 Outlook 不再是一个电子邮件客户端,而是微软 365 云的包装,它不仅与位于美国的服务器共享未加密的邮箱内容、联系人列表和日历事件,还共享密码等敏感登录信息。


MS Outlook 会共享你的密码吗?

德国科技网站Heise于 2023 年 11 月引发了一桩丑闻,揭露取代 Windows 上邮件应用程序的新 Outlook 会与微软的美国服务器共享用户密码。

由于新版 Windows Outlook 分享密码和其他敏感信息的警告具有严重的安全隐患,不容忽视,因此引起了当局的关注。如果考虑到从德国到美国,几乎所有的政府机构都在使用 Windows 企业环境,那么这一点就尤其令人担忧,同时也关系到国家安全。因此,德国联邦数据保护和信息自由专员乌尔里希-凯尔伯(Ulrich Kelber)在 Mastodon 网站上发表了声明

“关于 MS 涉嫌通过 Outlook 收集数据的报道令人震惊。我们将要求对此负有法律责任的爱尔兰数据保护专员在本周二的欧洲数据保护监督机构会议上提交报告”。

虽然到目前为止,爱尔兰官员似乎还没有就微软的电子邮件密码安全问题发表任何声明,但我们还是值得深入了解一下新的 Windows Outlook 如何共享你的密码,这对你的安全意味着什么,以及你如何保护自己不被微软过度收集数据。

让我们仔细看看 Outlook 的更新:在引擎盖下到底发生了什么,对我们的隐私和网络安全构成了威胁?

咄咄逼人的数据收集

通过最新更新,Outlook 正在追随谷歌(Alphabet)、Facebook(Meta)和苹果等硅谷科技巨头的脚步,收集越来越多的数据。显然,微软已经意识到,数据是新的石油,它可以利用已经拥有的数据大大增加收入:来自全球数十亿个人、企业和公共部门客户的大量数据。

收集和分析用户数据变得越来越有利可图,尤其是微软已经向当今最著名的人工智能公司OpenAI投入巨资。

2012 年,当谷歌改变隐私政策,允许大型科技公司收集用户数据时,微软支付了报纸广告的费用,强调与谷歌相比,微软也有自己的隐私保护措施。

十多年后的今天,微软已经明白,隐私并不能带来任何收益,但数据收集、用户画像和个性化广告却能带来收益。令人痛心的是,像微软和苹果这样曾经倡导保护隐私的公司(见 2020 年的iPhone 广告),如今也开始通过收集数据来增加收入。

在科技领域,股东价值的增长似乎才是最重要的。在美国和欧洲这样一个饱和的市场,如果这些公司不能卖出更多的 iPhone 或 Windows 电脑,就必须转向数据收集和个性化广告。

不断扩大的合作伙伴网络

因此,新的 Windows Outlook 与数百家第三方共享数据并不令人惊讶,正如其隐私政策中所述。

得益于欧洲 GDPR,微软无法向欧洲用户隐瞒其过度共享数据的信息。如果您是欧盟国家的用户,并且首次在新电脑上使用新版 Outlook for Windows,系统会通过 cookie 请求向您提示这些信息:

我们和 772 个第三方处理数据的目的是:存储和/或访问您设备上的信息、开发和改进产品、个性化广告和内容、衡量广告和内容、获得受众洞察力、获取精确的地理位置数据,以及通过设备扫描识别用户。某些第三方可能会基于其合法利益处理您的数据。您可以随时选择下面的 “管理偏好 “链接或通过 Outlook 设置行使同意或反对的权利。单击 “全部接受 “按钮,即表示您同意使用这些技术,并同意在使用 Outlook 时出于这些目的处理您的数据。

Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads... Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads...

在看到此请求时,请务必**不要快速点击,以免不小心点击了 “全部接受”。**如果你这样做了,你就会允许微软出于各种目的与其不断增长的合作伙伴网络共享你的大量个人数据,其中一些数据可能会吓坏任何有隐私倾向的个人。接受全部内容后,您将同意接受数据分析和跟踪,包括

  • 显示个性化广告
  • 洞察受众
  • 存储您的地理位置数据
  • 访问您设备上的数据
  • 通过设备扫描识别你的身份

因此,再次看到弹出的允许数据共享请求时:请务必点击 “全部拒绝”!

首先,你不会希望微软与数以百计的广告商和数据经纪人共享你的敏感个人数据,其次,微软的合作伙伴网络正在不断扩大。微软与第三方共享数据似乎是一个相当有利可图的步骤,因为 Cookie 警告现已更新为与 “813 个合作伙伴 “共享数据。如果你同意共享数据,谁知道将来还有多少合作伙伴会染指你的数据呢?

Screenshot of Outlook's new cookie warning has updated to 813 partners Screenshot of Outlook's new cookie warning has updated to 813 partners

加入五大广告商

随着数据共享的不断扩大,有一件事变得显而易见:微软正在成为五大网络广告商之一。

早在 2022 年,微软广告主管罗布-威尔克(Rob Wilk)就在一次采访中表示,这家美国科技巨头计划将其广告收入翻一番,达到 200 亿美元。现在,我们正看到这一计划付诸行动。

随着新版 Outlook for Windows 于 2023 年 9 月发布,微软已经完成了加入五大广告商行列的最后一步:Alphabet(谷歌)、Meta(Facebook)、苹果、亚马逊,现在还有微软。

甚至在此之前,Reddit 上就有人抱怨Outlook 将广告伪装成电子邮件—就像Gmail 现在直接在收件箱中显示广告一样:

Screenshot from an Outlook inbox with ads disguised as emails. Screenshot from an Outlook inbox with ads disguised as emails.

因此,虽然这并不是什么新鲜事,但广告机器会随着新 Outlook 的推出而变得更加强大。被塞进 Outlook 用户脸上的广告要么是关于微软自己的产品,要么是关于微软向其合作伙伴出售的第三方产品。

虽然微软可能会让你免费使用 Outlook,但他们通过把你的时间和注意力卖给第三方来赚钱。这与谷歌和 Facebook 等其他大型科技服务公司的做法类似,但新 Outlook 的数据共享探索了全新的维度。

除了可以主动拒绝与第三方共享数据外,如果使用微软的同步功能,新 Outlook 还会与云服务器共享密码等敏感数据。这一点更令人担忧,因为它存在严重的安全隐患,有可能导致凭证填充攻击,因为你的所有密码都将存储在一个中央服务器上:微软的服务器上。

这一信息让有安全意识的人大吃一惊,删除 Outlook 账户已成为一种趋势。

不过,在你决定是否还能信任微软的个人邮箱之前,让我们从技术上深入了解一下 Outlook 是如何共享你的数据的,以了解到底发生了什么!

安全问题:新 Outlook 如何共享数据

Windows 版的新 MS Outlook 已不再是我们以前熟悉的本地电子邮件客户端。新版本充当了微软云环境的网关。为了将非微软所有的电子邮件提供商的电子邮件同步到您的设备上,微软将请求并在其服务器上存储每个电子邮件帐户的 IMAP 和 SMTP 凭据。

在向新 Outlook 添加帐户时,用户会收到一个关于共享信息的警告,这有点吓人。消息称,要连接 IMAP 帐户,Outlook 需要与微软云同步电子邮件。虽然现有的联系人和日历事件可能不会与微软共享,但你在 Outlook 中添加的所有新内容也将存储在微软云中。

具体来说,Outlook 中显示的信息如下

”将帐户同步到 Microsoft 云后会发生什么?将帐户同步到 Microsoft 云意味着您的电子邮件、日历和联系人的副本将在您的电子邮件提供商和 Microsoft 数据中心之间同步。将您的邮箱数据保存在 Microsoft 云中,您就可以使用 Outlook 客户端(Windows 版 New Outlook、i0S 版 Outlook、Android 版 Outlook、Outlook.com 或 Mac 版 Outlook)的新功能,就像使用您的 Microsoft 账户一样。

Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud. Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud.

正如警告所说,共享的数据甚至可能包括你的登录凭证(如密码)—这使得美国科技巨头可以获得你数字生活的钥匙。有了新的 Outlook,微软就对你通过 IMAP 连接的所有电子邮件数据赋予了过大的权力。在任何时候,微软都可以扫描你的邮箱并与第三方共享敏感数据,而这一切你都不会知道。

从 Outlook 与微软服务器共享的不仅有您的登录凭证和电子邮件,还有您可能在该应用程序中创建的任何未来联系人或日历事件。在登录新 Outlook 时,微软可以无限制地访问你的电子邮件帐户。

正如XDA Developers 所说新 Outlook 客户端不再是一个 “客户端”,而是微软云服务的包装。你的数据(包括密码)不再存储在 Outlook 客户端的本地,而是存储在微软的服务器上并在本地获取。

共享数据是否经过加密?

作为安全专家,我们当然希望这些数据的共享是端到端的安全加密。然而,德国科技记者发现,新 Outlook 并非如此。

虽然数据是在 TLS 保护下发送到微软服务器的,但数据是以明文发送的。德国科技杂志《c’t of Heise》在配置新的 IMAP/SMTP 连接时进行了一次测试,并发布了以下可怕的结果图片:

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud. Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

代码截图:Outlook 与微软云共享未加密的数据。

鉴于这些发现,Heise.de 的团队联系了微软公司,要求其就新 Outlook 的严重安全问题发表评论,但华盛顿州雷德蒙德的微软公司没有做出任何回应。

这让 Heise 的 IT 专家们非常震惊。如果您也有同样的感觉,您可以浏览Outlook 和 Gmail 的对比,或者浏览Outlook 和 Tuta Mail 的对比,这样您就可以开始寻找新的电子邮件提供商了。

为什么要警惕

除了将密码发送到中央服务器是个糟糕的主意和最糟糕的安全问题之外,将所有电子邮件、日历事件和联系人同步到微软服务器可能会带来什么威胁呢?

首先,这是一个信任问题。微软是一家美国公司,受美国司法管辖。他们与执法部门和情报机构的合作程度不得而知,但已有证据表明,大型科技公司热衷于与政府机构合作。由于美国是 “五眼联盟”的成员,这一点非常令人担忧。

在美国,大科技公司心甘情愿地与当局共享用户敏感数据的丑闻屡见不鲜。例如,2016 年,雅虎向美国当局提供了所有电子邮件账户的访问权限,这一消息令美国当局感到震惊。据报道,2000 年初,美国电话电报公司(AT&T)在其设施中为美国国家安全局建造并运营了一个名为 641A 室的电信拦截室。

Door of room 641A at AT&T Door of room 641A at AT&T 这是美国电话电报公司 641A 室的门,美国国家安全局就是在这里截获通信数据的。

我们不知道微软是否以类似的方式行事,但如果没有强有力的隐私法和端到端加密技术,谁也无法确保敏感的客户数据在微软的美国服务器上是安全的。

除了国家监控的威胁,我们也不知道微软在多大程度上可能与数据经纪商合作收集和出售用户数据。但从新版Outlook for Windows向欧洲客户显示的新隐私政策弹窗来看,数据共享的范围很广,而且还会进一步扩大。

在美国,第三方原则也值得关注。美国的第三方原则规定,如果你自愿向第三方(如电子邮件提供商)提交信息,你对这些信息 “没有合理的隐私期望”。由于美国没有类似于欧洲 GDPR 的法律(该法律保证欧洲人的个人数据必须受到科技公司的保护),因此人们与微软共享的数据不会受到美国当局的保护。这些数据甚至有可能在没有法律授权或其他司法监督的情况下被获取。

这是不可接受的。

这对企业意味着什么

每个企业都有自己独特的使用案例和安全要求。使用新 Outlook 对企业意味着什么?

由于微软为企业客户提供了一套长期使用的软件,因此不可能每个人都会迅速放弃微软 Office,转而使用 LibreOffice 这样的免费开源解决方案。一些企业,尤其是那些处理敏感信息的企业,必须考虑微软 Outlook 的这些变化对其客户或顾客隐私的影响。

对于在欧盟境内运营的公司和组织,需要仔细研究GDPR 隐私法,以确定此次升级是否符合欧盟的隐私标准。

对于在美国运营的医疗机构,HIPAA 合规性将是一个主要问题。将电子邮件登录信息交给微软,就意味着你有可能让这家科技巨头接触到病人的敏感信息。

知识产权(IP)盗窃也构成了一个有趣的威胁:如果您在微软云环境中存储的内容中包含任何知识产权敏感信息,您的企业就需要评估公司数据泄露或暴露所带来的风险。

总而言之,我们必须扪心自问,Outlook 电子邮件是否安全可靠?微软确实拥有各种加密功能来保护你的 Outlook 电子邮件,尤其是对企业客户而言,但随着这次新的更新,Outlook 不再被认为是私密和安全的了。

请记住,云服务器只是别人的电脑。如果您的数据在传输和静止时没有进行安全的端到端加密,那么它在该服务器上也是不安全的。

开启隐私保护

面对这些不仅影响你的安全而且影响你的隐私的侵入性变化,普通互联网用户能做些什么呢?

我们第一步要做的就是停止个人使用 Outlook。有很多开源解决方案可以保护你的电子邮件、日历事件和联系人列表。

Tuta Mail 提供所有这些功能和更多,并对您的所有数据进行完全端到端加密,而且我们永远无法访问您的登录凭据。

Tuta Mail 允许您使用无限的电子邮件地址和自己的自定义域,而Outlook 不再支持私人用户的自定义域

下一步是向朋友、同事和您的医生办公室提出这些问题。通过宣传尊重隐私的大科技替代方案,我们都可以为使我们的数字未来成为一个更安全、更自由的空间而奋斗。

我们 Tuta 致力于建设一个更好的互联网—一个您的隐私默认受到保护的互联网。

现在就注册一个私密安全的电子邮件帐户