Veel bedrijven zijn al overgestapt op Office 365. Maar Microsoft is nog wat nalatig wat de privacy betreft en houdt zich niet aan security-standaarden.
Microsoft wil je maar wat graag in de cloud krijgen. Office 365 heeft bij veel kantoren het klassieke, uitsluitend lokaal geïnstalleerde programmapakket. Maar uit een onderzoek van het Duitse blad iX blijkt dat de ontwikkelaars daarbij bepaalde beveiligingsvoorwaarden en privacyrichtlijnen negeren.
Een van de meest verbluffende resultaten is dat Office 365 bij de eerste keer aanmelden het wachtwoord van de gebruiker in leesbare tekst en niet als slated hash verstuurt. Met een tussengeschakelde proxy voor bijvoorbeeld een man-in-the-middle-aanval is dat zonder verdere extra’s gewoon uit te lezen.
Even verrassend is het dat Office 365 nog voordat je hebt ingestemd met de voorwaarden al telemetriedata naar Microsfot heeft gestuurd. Ook instellingen van het besturingssysteem worden genegeerd. Daarbij gaat het om informatie over gestarte programma’s, geopende documenten en gebruikte sjablonen. Persoonlijke data dus. Volgens de AVG is daar expliciete toestemming van de gebruiker voor nodig.
Systeembeheerders kunnen zelf controleren welke informatie er verstuurd wordt met behulp van een Windows- en een Office 365-installatie, die voor de analyse in een Linux-QEMU-container draait.