Новый Outlook от Microsoft хранит все ваши письма в «облаке» — это очень плохо
Что самое неприятное, теперь это стандарт для редмондцев.
В начале сентября Microsoft представила новую версию почтового клиента Outlook для Windows. Приложение призвано заменить устаревший Windows Mail и классический Outlook, предлагая современный дизайн, расширенную интеграцию с облачными сервисами и объединение почты и календаря в одном приложении. Кроме того, новый Outlook получил функции на базе генеративного ИИ, включая помощника для написания текстов.
Однако, как выяснилось, за удобством и новыми возможностями скрываются серьезные проблемы с конфиденциальностью. Исследование немецкого блога heise.de, подтвержденное редакцией XDA, показало, что новый Outlook гораздо теснее интегрирован с облаком, чем может показаться на первый взгляд. Это открывает Microsoft широкие возможности для сбора данных пользователей.
Новая версия Outlook отличается свежим интерфейсом, соответствующим облачным версиям офисных приложений Microsoft, и более тесной интеграцией с другими сервисами Office, такими как Календарь и Word. Microsoft планирует, что в течение двух лет новый Outlook полностью заменит существующую версию.
При первом запуске нового Outlook пользователю предлагается авторизоваться, как и в любом другом почтовом клиенте. При вводе адреса электронной почты от Gmail, iCloud или другого популярного провайдера клиент использует стандартный процесс OAuth2 для аутентификации через браузер. При использовании стороннего домена запрашивается пароль IMAP.
Однако после аутентификации появляется окно с сообщением о том, что для использования нового Outlook Microsoft необходимо синхронизировать ваши письма, события и контакты с облаком Microsoft. Доступна опция «Отмена», но нет возможности отказаться от синхронизации и продолжить использовать клиент. Ссылка на справочную информацию содержит размытые формулировки о том, что доступ необходим для работы таких функций, как поиск по почте, «умная» сортировка входящих и повторяющиеся события, но не указывает чётко, какие именно данные собирает Microsoft.
На самом деле вместо того, чтобы ваш почтовый клиент подключался к серверу почтового провайдера, ваши учетные данные передаются в облако Microsoft, которое выполняет аутентификацию от вашего имени. С этого момента вся обработка, включая получение ваших писем, происходит в облаке. Это подтверждается тем, что при подключении к стороннему IMAP-серверу клиент Outlook передаёт учетные данные IMAP, предоставленные вашим почтовым провайдером, непосредственно в облако Microsoft по протоколу TLS.
Кроме того, при анализе IP-адресов, с которых осуществляются подключения к почтовому серверу, выяснилось, что они принадлежат Microsoft, а не компьютеру, на котором запущен Outlook. Это означает, что локальный клиент фактически никогда не подключается к почтовому серверу напрямую.
По сути, просто авторизовавшись в новом Outlook, пользователь предоставляет облаку Microsoft неограниченный доступ к всей своей электронной почте. Microsoft упоминает о конфиденциальности лишь в виде ссылок на свою политику конфиденциальности и условия обслуживания, которые позволяют компании собирать данные для улучшения продуктов и сервисов.
Особенно опасна эта ситуация для бизнеса. Сотрудник компании может невольно предоставить Microsoft доступ к конфиденциальным данным, что может привести к нарушению нормативных требований или угрозе безопасности.
Таким образом, прежде чем использовать новый Outlook, важно осознать возможные последствия для конфиденциальности ваших данных. Microsoft, хотя и сообщает о синхронизации с облаком, на самом деле получает гораздо больше доступа к вашей информации, чем можно было бы ожидать.