Geheime Office-365-Funktion erlaubt das Überwachen von Usern

Wie Heise berichtet, wurde schon seit längerem gemunkelt, dass es in Office 365 eine geheime Schnittstelle gibt. Mit dieser soll es Administratoren möglich sein, die Aktivitäten von Usern des Mail-Programms Outlook auszulesen, das in Office 365 enthalten ist.

Ende Juni hat die IT-Security-Firma Crowdstrike darüber berichtet, wie diese Schnittstelle eingesetzt werden kann, um Cyberkriminellen auf die Spur zu kommen. Die Angreifer nutzen oft Login-Daten von Angestellten, die sie etwa vorher per Phishing erhalten haben, um sich damit in das webbasierte Outlook von Office 365 einzuloggen. Dort sammeln sie Informationen, um nachher fingierte Überweisungsaufträge zu schicken (CEO Fraud) oder Schadsoftware an andere Mitarbeiter des Unternehmens zu senden.

Activities API

Mit der bislang undokumentierten Office-365-Schnittstelle „Activities API“ können Administratoren nahezu alle Aktionen sehen, die die User in Outlook in den vergangenen sechs Monaten gemacht haben. Dazu gehören Logins, welche Nachrichten gelöscht oder weitergeleitet wurden, welche Mails gelesen wurden, wonach gesucht wurde, auf welche Nachrichten geantwortet wurde und welche Anhänge geöffnet wurden und woher die Nachricht kam. Es kann auch nach einer bestimmten Zeitspanne und bestimmten Aktivitäten gefiltert werden. Der Inhalt der Mails ist aber nicht einsehbar.

Gegenüber Heise hat Microsoft nun die Existenz der Schnittstelle bestätigt. Man empfehle diese undokumentierte Funktion nicht so nutzen. Sie sei eigentlich gemacht worden um „Service-to-Service-Kommunikation“ zu unterstützen. Auf die Frage, warum Microsoft nicht zumindest die Administratoren seiner Office-365-Business-Kunden über die API informierte, bekam Heise keine Antwort. User sehen übrigens nicht, wenn ein Administrator ihre Aktivitäten abgerufen hat.