17 Kasım 2023 11:48 |
Okuma süresi: 4 dakika
Windows 11 güncellemesinden sonra Outlook’un yeni sürümü var. Posta istemcisi bazen Windows kullanıcılarına da önerildi. Ancak artık tüm verilerin Microsoft sunucularına iletildiği söyleniyor.
Yeni Outlook sürümünün yakın gelecekte Windows posta uygulamasının ve eski Outlook’un yerini alması amaçlanıyor. Uygulamayı hemen indirebilirsiniz. Ya Microsoft Store’da arama yaparsınız ya da uygulama “Başlat” aracılığıyla kullanıcılara önerilir. Ancak yalnızca e-postaların değil, erişim verilerinin de Microsoft’a sızdırıldığı bildirildiğinden güvenlikle ilgili sorular ortaya çıkıyor.
Outlook muhtemelen hassas verileri Microsoft’a gönderiyor
Her yeniliğin olumlu olması gerekmez. Bu, yeni Outlook sürümü için geçerli olabilir. Tarafından hazırlanan bir raporda Heise Çevrimiçi bu, Outlook’un Microsoft’a yalnızca e-posta göndermekle kalmayıp aynı zamanda çeşitli erişim verilerini de göndereceği anlamına gelir. Buna göre IMAP ve SMTP verileri de firmanın eline geçiyor.
IMAP, “İnternet Mesaj Erişim Protokolü” anlamına gelir ve e-postalara erişimi sağlar. Ayrıca sunucu ve posta programı arasında e-postaları senkronize eder. SMTP, “Basit Posta Aktarım Protokolü” anlamına gelir ve e-posta göndermek için kullanılır. Yeni Outlook’a geçişte IMAP ve SMTP erişim verilerinin Microsoft’a iletilmesi gerekir. TECHBOOK bunu test etti ve Outlook’a bir GMX e-posta adresi (IMAP hesabı) ekledi; yani Microsoft’a ait olmayan bir e-posta adresi. Sonra bir not vardı:
Outlook’a Microsoft’a ait olmayan bir posta hesabı ekledikten sonra bir ileti görüntülenir. Hesap daha sonra senkronize edilecektir. Fotoğraf: TECHBOOK.de
Buna göre, IMAP hesabındaki (burada GMX) kişiler ve olaylar Microsoft ile senkronize edilmez, ancak e-postalar senkronize edilir. Hatta birinde Destek raporu Microsoft, Outlook’ta Gmail, Yahoo, iCloud ve IMAP hesaplarının Microsoft’a bağlanacağını söylüyor. Heise Online ayrıca hesap oluşturulduğunda hedef sunucunun, oturum açma adının ve parolanın bir TLS tüneli aracılığıyla Microsoft sunucularına düz metin olarak, yani görünür şekilde iletildiğini de buldu.
Federal yetkililer devreye giriyor
Olayın ardından federal otorite, daha doğrusu Federal Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri (BfDI) bile Mastodon aracılığıyla olaya dahil oldu ve resmi tutanağa yazdı. Mastodon sunucusu BfDI “social.bund.de”den şu ifadeler yer alıyor: “MS’in Outlook aracılığıyla veri topladığından şüphelenildiğine ilişkin raporlar endişe verici. “Salı günü Avrupa veri koruma denetleme otoritelerinin toplantısında yasal olarak sorumlu olan İrlandalı veri koruma denetçilerinden bir rapor talep edeceğiz.”
Kullanıcılar kötü yorumlar veriyor
Microsoft Store’da yeni Outlook “birinci sınıf e-posta deneyimi” olarak lanse ediliyor. Ancak yeni Outlook’un incelemelerine bakarsanız, kullanıcıların pek memnun olmadığı hemen anlaşılıyor. Kullanıcılar ona 5 üzerinden yalnızca 2,9 yıldız verdi. Yeni uygulamanın yalnızca 600’ün üzerinde incelemeye sahip olduğunu da belirtmek gerekiyor. Ancak, yeni Outlook’un başlangıcında incelemelerin kötü olması önceden kötü bir işarettir.
Microsoft iddialarla ilgili şunları söylüyor
TECHBOOK, Microsoft ile temasa geçti ve bir açıklama istedi. Microsoft’un neden yeni Outlook’ta veri topladığı sorulduğunda şirket şu yanıtı verdi: “Amaç, Outlook’a eklenen tüm hesaplar için tutarlı bir deneyim sağlamaktır. IMAP yapılandırma ayrıntıları, IMAP sunucusu ile Microsoft tarafından desteklenen posta kutusu arasındaki e-postaları senkronize etmek için kullanılır ve SMTP yapılandırma ayrıntıları, istemciden sunucuya e-posta göndermek için kullanılır.”
TECHBOOK ayrıca Microsoft’un gelecekte tüm e-postalara tam erişime sahip olup olmayacağını ve bunları okuyup değerlendirip değerlendiremeyeceğini bilmek istedi. Şirket şunları söylüyor: “Jeton, kullanıcının posta kutusunda saklanır ve şifrelenir. Yalnızca kullanıcıların kendileri ve verileri almak için posta kutusuyla etkileşimde bulunan Microsoft hizmetleri bu belirtece erişebilir. Bu, Microsoft’un düz metin parolasına erişimi olmadığı anlamına geliyor.”
Ancak son cevap oldukça şaşırtıcı çünkü Heise Online’daki metin (yukarıda bahsedilmişti) diğer şeylerin yanı sıra şifreleri de düz metin olarak gösteriyordu. Microsoft’un yaklaşımının teknik nedenlerinin de olduğu söyleniyor ancak bu durum kullanıcılar açısından anlaşılır değil.