API no documentada de Office 365 permite vigilar a usuarios

 

La aplicación de correo de Office 365 tiene una API, secreta hasta ahora, que permite a los administradores monitorizar las actividades de los usuarios de correo electrónico.

La empresa de seguridad informática CrowdStrike da cuenta de una API secreta que elabora un registro de actividad de usuarios de correo electrónico en Office 365. Con esta interfaz, los administradores de Office 365 en las empresas pueden ver exactamente qué acciones realizó un usuario en particular en su cuenta de correo. CrowdStrike precisa que el contenido de los mensajes no está visible para los administradores.

La interfaz secreta no es una vulnerabilidad de seguridad. Por el contrario, es una función y solo puede ser utilizada por empleados con derechos de administración de las cuentas de correo electrónico. La interfaz proporciona información similar a la que tendría un administrador de correo electrónico si la organización ejecutara su propio servidor de correo interno. Este puede ver quién es destinatario de un correo electrónico, cuando es abierto por éste, qué archivos adjuntos abrió y quién es el remitente. También puede ver cuándo un usuario respondió, reenvió o eliminó un correo electrónico.

Por tratarse de una aplicación web, el registro también muestra cuándo y cómo el usuario realiza ciertas interacciones en su cliente de correo. Esta información, de gran precisión, no está incluida en los registros normales del servidor de correo, escribe CrowdStrike.

Mediante un comando cURL, la API recupera la información de actividad de un usuario. “Este método es fácil de automatizar y, por lo tanto, parece posible tener una monitorización de segundo a segundo”, escribe la empresa.

“La API causa controversia, e incluso alarma, porque Microsoft la mantuvo en secreto y no la documentó”, escribe CrowdStrike.

Microsoft confirma la existencia de la API

Microsoft ha confirmado que la API funciona según lo descrito por CrowdStrike. “La API de Actividades se creó para admitir la comunicación de servicio a servicio”, comentó escuetamente a la publicación alemana Heise.de un portavoz de Microsoft, quien prefirió no responder por qué la empresa no había informado a los clientes sobre la API en cuestión. Por tratarse de una publicación alemana, Heise.de comenta con particular interés que Microsoft podría estar obligada a informar sobre la API, en cumplimiento del Reglamento General de Protección de Datos (GDPR), que entró en vigor en la Unión Europea en mayo pasado (ver artículos de referencia).

Ver información otiginal al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies