Office 365 inneholder et ukjent programmeringsgrensesnitt (API) som overvåker brukeraktivitet i den nettbaserte epostklienten. Det skriver sikkerhetsselskapet Crowdstrike.
– Meget bemerkelsesverdig, skriver selskapet i en bloggpost.
Loggingen er alltid slått på, og kjører hele tiden for alle brukere.
Det er ikke snakk om et sikkerhetshull, men Microsoft advarer mot å bruke det udokumenterte APIet, som bare er tilgjengelig for systemadministratorer.
Crowdstrike mener APIet egner seg godt for å drive sikkerhetsforskning på egne driftsmiljøer.
Konkret logges det når brukere sender epost, når de leser og gjør søk i postkassen - samt hvilke vedlegg som sendes ut og inn.
All innloggingsaktivitet lagres også.
– Aktivitets-APIet ble laget for å sikre kommunikasjonen mellom tjenester. Vi kan ikke garantere at dataene er korrekte eller komplette, og de bør derfor ikke brukes som en ekstra sikkerhetsinnretning, sier en talsperson i Microsoft til Heise Online.
