Office 365 inneholder et ukjent programmeringsgrensesnitt (API) som overvåker brukeraktivitet i den nettbaserte epostklienten. Det skriver sikkerhetsselskapet Crowdstrike.
– Meget bemerkelsesverdig, skriver selskapet i en bloggpost.
Loggingen er alltid slått på, og kjører hele tiden for alle brukere.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Det er ikke snakk om et sikkerhetshull, men Microsoft advarer mot å bruke det udokumenterte APIet, som bare er tilgjengelig for systemadministratorer.
Crowdstrike mener APIet egner seg godt for å drive sikkerhetsforskning på egne driftsmiljøer.
Konkret logges det når brukere sender epost, når de leser og gjør søk i postkassen - samt hvilke vedlegg som sendes ut og inn.
All innloggingsaktivitet lagres også.
– Aktivitets-APIet ble laget for å sikre kommunikasjonen mellom tjenester. Vi kan ikke garantere at dataene er korrekte eller komplette, og de bør derfor ikke brukes som en ekstra sikkerhetsinnretning, sier en talsperson i Microsoft til Heise Online.