Tech.BiznesINFO.pl > Internet i TV > Skandal wokół nowego Outlooka. „Microsoft kradnie dane dostępowe”
Maciej Olanicki
Maciej Olanicki 11.11.2023 19:14

Skandal wokół nowego Outlooka. „Microsoft kradnie dane dostępowe”

Satya Nadella
Satya Nadella, CEO Microsoftu, fot. Microsoft na licencji CC BY-SA 4.0 DEED

Microsoft zdecydował się w ostatnim czasie na wprowadzenie licznych zmian w domyślnych aplikacjach Windowsa. Pojawiło się kilka nowych, część została usunięta, a jeszcze inne zostały solidnie odświeżone. Do tych ostatnich zalicza się klient poczty, który jednak zaczyna budzić bardzo duże kontrowersje.

Lata perypetii windowsowego klienta poczty

Nie będzie przesadą twierdzić, że Microsoft przez lata traktował domyślnego klienta poczty elektronicznej w Windowsie po macoszemu. Oczywiście, jakiś program o podstawowych funkcjach był dostępny, jednak jego możliwości, jak i komfort użytkowania odbiegały od tego, co oferuje choćby darmowy Thunderbird. Było tak za sprawą Outlooka, który dostępny był wyłącznie w ramach płatnego oddzielnie pakietu Office.

Siłą rzeczy korporacji nie zależało, aby Windows już po pierwszym uruchomieniu oferował w zakresie obsługi poczty zbyt wiele, gdyż mogłoby to zniechęcić część użytkowników do kupna kiedyś Office’a, dziś pakietu Microsoft 365. Tak zresztą można było powiedzieć o wielu innych programach systemowych Windowsa, których funkcjonalność ograniczano, by zapobiec kanibalizacji ze składnikami Office’a.

Ostateczny koniec starszych wersji Windowsa. Microsoft wyłącza możliwość migracji

Zmiana w podejściu w Windowsie 11

Teraz trend ma się odwrócić, o czym świadczyć ma nowa aplikacja Outlooka na Windowsie 11. Na razie program w nowej wersji jest dostępny opcjonalnie i każdy może sam zdecydować, czy chce korzystać z darmowego nowego Outlooka, czy z dotychczasowej wersji. Można do tego wykorzystać przełącznik w prawym górnym rogu interfejsu, który szybko przenosi nas pomiędzy dwiema odsłonami programu.

Trzeba przyznać, że w pomiędzy obiema aplikacjami różnice są znaczące i nowy Outlook nie tylko prezentuje się znacznie nowocześniej, ale też jest bogatszy funkcjonalnie. Oczywiście nadal jest w dużym stopniu uproszczony w porównaniu z Officem z Microsoft 365 i wciąż trudno wyobrazić go sobie, jaki podstawowy klient wykorzystywany w infrastrukturze biurowej, niemniej zmiany w postaci rozrostu funkcjonalności i konfigurowalności poszły w dobrą stronę. 

Microsoft wysyła hasła na swoje serwery

Niestety, nie obyło się bez problemów. I nie chodzi tu o pomniejsze błędy, które są oczywiste dla relatywnie młodych programów. Pies jest pogrzebany w rażącym naruszaniu prywatności i bezpieczeństwa danych, których według heise.de dopuścił się Microsoft. Redaktorzy dostarczyli dowody na to, że Microsoft pobiera na swoje serwery hasła służące do logowania do usług pocztowych wprowadzonych w nowym Outlooku.

Outlook to dziś program obsługujące wiele różnych rodzajów kont, nie tylko skrzynki Microsoftu. Nic nie stoi na przeszkodzie, aby w nowym Outlooku dodać sobie np. konto Gmaila. Jeśli jednak to zrobimy i podamy login i hasło do poczty Google, to powędrują one od razu na serwery Microsoftu, razem z innymi danymi, jak maile.

Microsoft nie robi z tego tajemnicy, jasno informując, że do jego chmury zostanie przekazane wszystko poza wydarzeniami z kalendarza i listą kontaktów. Rzecz w tym, że wcześniej tego nie robił, co może uśpić czujność. Problem dotyczy zarówno kont IMAP, jak i SMTP i obejmuje również Outlooka mobilnego, czyli aplikacji dostępnych na smartfony z Androidem i iPhone’y.

Nigdy wcześniej w przypadku domyślnego klienta poczty w Windowsie takie praktyki nie były realizowane. Na podstawie nagłówków HTTP redaktorom Heise udało się potwierdzić, że starsza wersja Outlooka nie przesyła danych uwierzytelniania na serwery Microsoftu, lecz wykorzystuje do potwierdzenia tożsamości mechanizm OAuth2, który nie daje korporacji pełnego dostępu do skrzynek.

Zmiany można cofnąć, hasła zostają

Jak dotąd Microsoft nie odpowiedział na pytania redakcji o to, dlaczego chce uzyskiwać hasła swoich użytkowników do skrzynek hostowanych poza infrastrukturą Microsoftu, mimo tego, że nigdy nie było i nadal nie ma takiej potrzeby. Problemu nie rozwiązuje powrót do starszej wersji Outlooka – dane już raz zostały przesłane i hasła pozostają w chmurze. To skłoniło heise.de, by cały proceder otwarcie nazwać kradzieżą danych przez Microsoft.