Das Gerücht unter den Sicherheitsforschern, dass es mit Hilfe eines geheimen API möglich ist, ein Aktivitätsprotokoll von E-Mail-Nutzern in Office 365 auszulesen, hat sich bewahrheitet.

Über das Interface können Office-365-Administratoren alle E-Mail-Aktionen eines bestimmten Nutzers auslesen. Die Inhalte von Nachrichten sind jedoch nicht sichtbar. Diese Schnittstelle wird unter anderem von Sicherheitsfirmen verwendet, um nach einem Einbruch in Mail-Konten einer Organisation herauszufinden, wie ein Angriff abgelaufen ist..

Microsoft bestätigte diese API. Ein Microsoft-Sprecher rate allerdings davon ab, diese undokumentierten Funktionen zu benutzen. "Die Activities API wurde dazu gebaut, um Service-to-Service-Kommunikation zu unterstützen. Wir können nicht garantieren, dass die Daten akkurat oder komplett genug sind, um Sicherheits-Untersuchungen damit durchzuführen", erläuterte Microsoft.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE