La aplicación de correo de Office 365 tiene una API, secreta hasta ahora, que permite a los administradores monitorizar las actividades de los usuarios de correo electrónico.
La empresa de seguridad informática CrowdStrike da cuenta de una API secreta que elabora un registro de actividad de usuarios de correo electrónico en Office 365. Con esta interfaz, los administradores de Office 365 en las empresas pueden ver exactamente qué acciones realizó un usuario en particular en su cuenta de correo. CrowdStrike precisa que el contenido de los mensajes no está visible para los administradores.
La interfaz secreta no es una vulnerabilidad de seguridad. Por el contrario, es una función y solo puede ser utilizada por empleados con derechos de administración de las cuentas de correo electrónico. La interfaz proporciona información similar a la que tendría un administrador de correo electrónico si la organización ejecutara su propio servidor de correo interno. Este puede ver quién es destinatario de un correo electrónico, cuando es abierto por éste, qué archivos adjuntos abrió y quién es el remitente. También puede ver cuándo un usuario respondió, reenvió o eliminó un correo electrónico. Por tratarse de una aplicación web, el registro también muestra cuándo y cómo el usuario realiza ciertas interacciones en su cliente de correo. Esta información, de gran precisión, no está incluida en los registros normales del servidor de correo, escribe CrowdStrike.
Mediante un comando cURL, la API recupera la información de actividad de un usuario. “Este método es fácil de automatizar y, por lo tanto, parece posible tener una monitorización de segundo a segundo”, escribe la empresa.
“La API causa controversia, e incluso alarma, porque Microsoft la mantuvo en secreto y no la documentó”, escribe CrowdStrike.
Microsoft confirma la existencia de la API
Microsoft ha confirmado que la API funciona según lo descrito por CrowdStrike. “La API de Actividades se creó para admitir la comunicación de servicio a servicio”, comentó escuetamente a la publicación alemana Heise.de un portavoz de Microsoft, quien prefirió no responder por qué la empresa no había informado a los clientes sobre la API en cuestión. Por tratarse de una publicación alemana, Heise.de comenta con particular interés que Microsoft podría estar obligada a informar sobre la API, en cumplimiento del Reglamento General de Protección de Datos (GDPR), que entró en vigor en la Unión Europea en mayo pasado (ver artículos de referencia).