Skandal wokół nowego Outlooka. „Microsoft kradnie dane dostępowe”

Lata perypetii windowsowego klienta poczty

Nie będzie przesadą twierdzić, że Microsoft przez lata traktował domyślnego klienta poczty elektronicznej w Windowsie po macoszemu . Oczywiście, jakiś program o podstawowych funkcjach był dostępny, jednak jego możliwości, jak i komfort użytkowania odbiegały od tego, co oferuje choćby darmowy Thunderbird. Było tak za sprawą Outlooka, który dostępny był wyłącznie w ramach płatnego oddzielnie pakietu Office.

Siłą rzeczy korporacji nie zależało, aby Windows już po pierwszym uruchomieniu oferował w zakresie obsługi poczty zbyt wiele, gdyż mogłoby to zniechęcić część użytkowników do kupna kiedyś Office’a , dziś pakietu Microsoft 365. Tak zresztą można było powiedzieć o wielu innych programach systemowych Windowsa, których funkcjonalność ograniczano, by zapobiec kanibalizacji ze składnikami Office’a.

Zmiana w podejściu w Windowsie 11

Teraz trend ma się odwrócić, o czym świadczyć ma nowa aplikacja Outlooka na Windowsie 11. Na razie program w nowej wersji jest dostępny opcjonalnie i każdy może sam zdecydować, czy chce korzystać z darmowego nowego Outlooka, czy z dotychczasowej wersji . Można do tego wykorzystać przełącznik w prawym górnym rogu interfejsu, który szybko przenosi nas pomiędzy dwiema odsłonami programu.

Trzeba przyznać, że w pomiędzy obiema aplikacjami różnice są znaczące i nowy Outlook nie tylko prezentuje się znacznie nowocześniej, ale też jest bogatszy funkcjonalnie. O czywiście nadal jest w dużym stopniu uproszczony w porównaniu z Officem z Microsoft 365 i wciąż trudno wyobrazić go sobie, jaki podstawowy klient wykorzystywany w infrastrukturze biurowej, niemniej zmiany w postaci rozrostu funkcjonalności i konfigurowalności poszły w dobrą stronę.

Microsoft wysyła hasła na swoje serwery

Niestety, nie obyło się bez problemów. I nie chodzi tu o pomniejsze błędy, które są oczywiste dla relatywnie młodych programów. Pies jest pogrzebany w rażącym naruszaniu prywatności i bezpieczeństwa danych, których według heise.de dopuścił się Microsoft . Redaktorzy dostarczyli dowody na to, że Microsoft pobiera na swoje serwery hasła służące do logowania do usług pocztowych wprowadzonych w nowym Outlooku.

Outlook to dziś program obsługujące wiele różnych rodzajów kont, nie tylko skrzynki Microsoftu. Nic nie stoi na przeszkodzie, aby w nowym Outlooku dodać sobie np. konto Gmaila. Jeśli jednak to zrobimy i podamy login i hasło do poczty Google, to powędrują one od razu na serwery Microsoftu , razem z innymi danymi, jak maile.

Microsoft nie robi z tego tajemnicy, jasno informując, że do jego chmury zostanie przekazane wszystko poza wydarzeniami z kalendarza i listą kontaktów. Rzecz w tym, że wcześniej tego nie robił, co może uśpić czujność . Problem dotyczy zarówno kont IMAP, jak i SMTP i obejmuje również Outlooka mobilnego, czyli aplikacji dostępnych na smartfony z Androidem i iPhone’y.

Nigdy wcześniej w przypadku domyślnego klienta poczty w Windowsie takie praktyki nie były realizowane. Na podstawie nagłówków HTTP redaktorom Heise udało się potwierdzić, że starsza wersja Outlooka nie przesyła danych uwierzytelniania na serwery Microsoftu , lecz wykorzystuje do potwierdzenia tożsamości mechanizm OAuth2, który nie daje korporacji pełnego dostępu do skrzynek.

Zmiany można cofnąć, hasła zostają

Jak dotąd Microsoft nie odpowiedział na pytania redakcji o to, dlaczego chce uzyskiwać hasła swoich użytkowników do skrzynek hostowanych poza infrastrukturą Microsoftu, mimo tego, że nigdy nie było i nadal nie ma takiej potrzeby. Problemu nie rozwiązuje powrót do starszej wersji Outlooka – dane już raz zostały przesłane i hasła pozostają w chmurze . To skłoniło heise.de, by cały proceder otwarcie nazwać kradzieżą danych przez Microsoft.