Menü

Office 365: Undokumentierte Funktion ermöglicht Nutzer-Überwachung

Microsofts Online-Office-Suite erlaubt es Admins, die Aktivitäten von Mail-Nutzern sekundengenau auszulesen. Diese Funktion wurde bis jetzt geheim gehalten.

Von
vorlesen Drucken Kommentare lesen 196 Beiträge
Office 365: Undokumentierte Funktion erlaubt Nutzer-Überwachung

Die Mail-App von Office 365 hat eine geheime Schnittstelle, die nun bekannt wurde.

(Bild: Fabian A. Scherschel / heise online / Microsoft)

Unter Sicherheitsforschern grassiert seit längerem das Gerücht, dass es mit Hilfe eines geheimen API möglich ist, ein Aktivitätsprotokoll von E-Mail-Nutzern in Office 365 auszulesen. Demnach nutzen dies Sicherheitsfirmen, um nach einem Einbruch in Mail-Konten einer Organisation herauszufinden, wie der Hack vonstattenging. Über dieses Interface können Office-365-Administratoren, die mit entsprechenden Rechten ausgestattet sind, genau sehen, welche Aktionen ein bestimmter Nutzer wann in seinem Mail-Konto ausgeführt hat – Inhalte von Nachrichten sind dabei nicht sichtbar. Wie sich jetzt herausstellt, existiert dieses API tatsächlich.

Bei der geheimen Schnittstelle handelt es sich nicht um eine Sicherheitslücke, denn sie lässt sich nur von Administratoren nutzen, die sich über Office-365-Funktionen entsprechende Rechte für die Ziel-Mail-Konten eingeholt haben. Die Schnittstelle liefert ähnliche Informationen, wie sie ein Mail-Admin sowieso zur Verfügung hätte, wenn die Organisation ihren eigenen In-House-Mailserver betreiben würde. Es ist zu sehen, welche Mails der Nutzer wann gelesen hat, welche Attachments er geöffnet hat und woher die Nachricht kam. Außerdem ist erkennbar, wann ein Nutzer auf eine Mail geantwortet hat, sie weiterleitete oder löschte. Da es sich um eine Web-App handelt, zeigt das Log auch, wenn der Nutzer bestimmte Interaktionen in seinem Mail-Client ausführt – solch genaue Informationen sind in normalen Mailserver-Logs natürlich nicht enthalten.

Über einen einfachen curl-Befehl lässt sich mithilfe des API die Aktivitätsinformation eines Nutzers abrufen. Diese Methode ließe sich einfach automatisieren und somit scheint auch sekundengenaue Überwachung möglich.

(Bild: Fabian A. Scherschel / heise online)

Kontrovers ist das sogenannte Activities API vor allem deswegen, weil Microsoft es geheim hielt und nirgendwo dokumentierte. Admins wussten also nicht, wie viele Informationen sie über das Verhalten ihrer Nutzer hätten auslesen können. Öffentlich bekannt wurde das Ganze erst, nachdem die Sicherheitsfirma CrowdStrike in einem ausführlichen Blog-Eintrag über die forensischen Möglichkeiten des Activities API berichtete. Ob CrowdStrike diese Informationen herausgab, weil kurz zuvor ein im Namen des Hackerkollektivs Anonymous veröffentlichtes Video entsprechende Hinweise auf das geheime Office-365-API fallengelassen hatte, ist wohl reine Spekulation.

Nachdem heise online die Erkenntnisse von CrowdStrike detailliert nachverfolgen konnte, bestätigte uns auch Microsoft, dass das API wie von den Sicherheitsforschern beschrieben funktioniert. Sein Unternehmen rate allerdings davon ab, solche undokumentierten Funktionen zu benutzen, sagte ein Microsoft-Sprecher. "Die Activities API wurde dazu gebaut, um Service-to-Service-Kommunikation zu unterstützen. Wir können nicht garantieren, dass die Daten akkurat oder komplett genug sind, um Sicherheits-Untersuchungen damit durchzuführen", erläuterte Microsoft. Ob das API auch in Deutschland für deutsche Nutzer funktioniert, wollte uns Microsoft nicht bestätigen. Unsere Testergebnisse scheinen dies aber zu belegen.

Um die API-Anfragen auszuführen, muss sich ein Administrator zuerst entsprechende Rechte für die Mailbox des Anwenders besorgen.

(Bild: Fabian A. Scherschel / heise online / Microsoft)

Auch die Frage danach, warum die Firma ihre Kunden nicht über diese Funktion informiert hat, ließ Microsoft unbeantwortet. Im Zuge aktuelle Datenschutz-Vorgaben im europäischen Raum scheint es doch zumindest sinnvoll, Administratoren darüber zu informieren, dass sie entsprechende Aktivitätsdaten über die E-Mail-Nutzung ihrer Anwender zur Verfügung haben. Zumal der Anwender nicht gewarnt wird, wenn sich ein Administrator entsprechende Rechte einholt, um diese Aktivitätsdaten abzurufen. (fab)

Anzeige
Anzeige