In Office 365 können Admins ein Aktivitätsprotokoll der E-Mail-Nutzung durch eine geheime API erstellen, wie "Heise"
in einem Bericht schreibt. Gerüchte um die Existenz einer solchen Funktion habe es schon länger gegeben, und jetzt wurde sie öffentlich bekannt durch einen
Bericht der Sicherheitsfirma Crowdstrike.
Security-Dienstleister hätten die so genannte Activities API schon seit längerem im Einsatz, um nach Gründen für gehackte E-Mail-Konten zu suchen. Eine Sicherheitslücke im herkömmlichen Sinne sei dies laut "Heise" nicht, da sie nur von Administratoren genutzt werden kann, die über Office 365 die wesentlichen Rechte für die Mail-Accounts besitzen. Die Informationen seien dieselben, die ein Admin einholen könnte, wenn ein In-House-Mailserver betrieben würde. So gibt es Einblicke zu den Urhebern von Nachrichten und dazu, welche Mails wann gelesen wurden und welche Anhänge geöffnet wurden. Der Unterschied zum normalen Mailserver-Log liege darin, dass das Log dieser Web-App auch bestimmte Interaktionen aufführt, die der Anwender in seinem Client ausführt.
Das Diskussionswürdige an dieser API ist vor allem, dass
Microsoft sie nirgends dokumentiert hat und sie so geheim blieb. So wussten Admins nicht, welche Nutzerinformationen sie hätten auslesen können. "Heise" gegenüber bestätigte Microsoft die Existenz der API und auch, dass diese von Sicherheitsforschern betrieben werde, man würde allerdings von der Nutzung dieser undokumentierten Funktion abraten. Das IT-Portal zitiert einen Microsoft-Sprecher: "Die Activities API wurde dazu gebaut, um Service-to-Service-Kommunikation zu unterstützen. Wir können nicht garantieren, dass die Daten akkurat oder komplett genug sind, um Sicherheits-Untersuchungen damit durchzuführen." Die Frage danach, warum Microsoft seine Kunden nicht informiert hat, blieb unbeantwortet.
(rpg)