La nueva aplicación Outlook para Windows transfiere datos de acceso IMAP a Microsoft, entre otras cosas. Ahora la Oficina Federal de Seguridad de la Información (BSI) ha comentado críticamente el caso: «Las contraseñas deben permanecer generalmente confidenciales y, por tanto, inaccesibles a terceros. En casos excepcionales, los usuarios deben poder activar las contraseñas e informarlas», explicó un portavoz de la BSI. .: “Decisiones, si confían en el proveedor de servicios y quieren compartir con él datos de acceso a otros servicios”.
anuncio
Si desea utilizar cuentas IMAP con la nueva aplicación Outlook, debe otorgar acceso a la nube de Microsoft. La aplicación también envía la contraseña de la cuenta de correo electrónico.
Pero es cuestionable si es posible tomar una decisión tan activa e informada. Al configurar una cuenta de correo electrónico IMAP, la aplicación llama la atención sobre el hecho de que los correos electrónicos deben sincronizarse, pero no deja suficientemente claro que los datos de configuración ingresados, incluidos nombres de usuario y contraseñas, se transferirán a Microsoft. Este es un gran problema porque un usuario puede cometer una infracción legal al transmitir datos confidenciales.
La nueva aplicación Outlook aparece en el menú Inicio después de actualizar a la versión actual de Windows 11 23H2, y Microsoft también invita a los usuarios de Outlook clásico a probarla usando el interruptor “Pruebe el nuevo Outlook”.
Pérdida de control debido a la presión de las nubes.
Los usuarios de la nueva aplicación Outlook actualmente no tienen la opción de recuperar correos electrónicos directamente desde su cuenta IMAP; En cambio, la nube de Microsoft utiliza datos de acceso para recuperar los correos electrónicos del usuario.
Pudimos autenticar la transferencia de datos de acceso mediante un proxy TLS.
BSI considera que esta conversión es crucial: “Desde una perspectiva técnica, no hay necesidad de sincronizar o recuperar correos electrónicos a través de un servicio (en la nube) que está conectado entre el cliente y el servidor de correo electrónico físico y proporciona acceso al contenido del correo electrónico o incluso a las contraseñas de las cuentas de correo electrónico. se reciben / Códigos de acceso. En general, BSI ve una pérdida de control a través de uno Coerción de la nubeya que los usuarios ya no tienen la oportunidad de decidir libremente si quieren utilizar las funciones del programa localmente o de forma tradicional. A través de la nube Quiere usarlo, crítico.
BSI generalmente aconseja a los usuarios que se encuentran actualmente con la aplicación Outlook que «siempre sean conscientes de los riesgos que pueden estar asociados con el uso del servicio y decidan por sí mismos, caso por caso, si están preparados para asumir los riesgos correspondientes». los riesgos.»
Llave de repuesto para buzón
Para facilitar la decisión, BSI ofrece una comparación con el mundo analógico: “¿Puedo darle a un servicio de entrega postal adicional una segunda clave para mi buzón, donde guardo copias abiertas de las cartas que he enviado y recibido, aunque esta entrega postal adicional El primero es «¿Simplemente intercambio mi correo sin sellar con el proveedor de servicios postales real?» ¿O evito esta transferencia, me quedo con la llave de mi apartado postal y prefiero intercambiar mi correo sin sellar directamente con mi proveedor de servicios postales real?
Cuando preguntamos si el uso de la aplicación cumple con las medidas marcadas por la BSI IT-Grundschutz (PDF) Por el contrario, la autoridad respondió lo siguiente: «IT-Grundschutz exige que las contraseñas sean confidenciales y sólo puedan ser conocidas personalmente por el usuario. Una contraseña que ha llegado a ser conocida o podría llegar a ser conocida por personas no autorizadas debe modificarse. Sin embargo, la implementación La protección básica de TI siempre se caso por caso”.
Según nuestro informe, los defensores de la protección de datos también han expresado su preocupación por las acciones de Outlook. El comisionado estatal de protección de datos y libertad de información (TLfDI) de Turingia, Lutz Haase, desaconseja el uso de la nueva aplicación, y el comisario federal para la protección de datos y la libertad de información (BfDI), profesor Ulrich Kelber, calificó los «informes de sospechas». recogida de datos» preocupante.
(irrigación)
«Erudito en viajes incurable. Pensador. Nerd zombi certificado. Pionero de la televisión extrema. Explorador general. Webaholic».
