В июне 2018 года слухи о том, что в Office 365 есть встроенный секретный инструмент для записи активности пользователей подтвердились специалистами американской компании по кибербезопасности CrowdSrtike. Этот инструмент называется Activities API. Он позволяет вести подробнейшую фиксацию активности за полгода, даже когда пользователь отключил журналирование.
Официально, Microsoft встроила в почтовый клиент Activities API не для сбора информации, а для случаев расследования утечки данных, таких как взлом корпоративной почты и других.
Сейчас взлом корпоративных почтовых аккаунтов по всему миру приобрёл характер эпидемией. Раньше расследование инцидентов затруднялось тем, что журналирование в Office 365 выключено по умолчанию. А это значит, что по закону в случае взлома компания вынуждена публично объявлять об утечке данных со всеми вытекающими последствиями — потерей репутации, штрафами и т. п.
До раскрытия, Microsoft всеми силами скрывала функцию записи активности или, по-другому, логов, названную в профессиональных кругах «Волшебным Единорогом» (Magic Unicorn). По некоторой информации, лишь избранные организации в области цифровой криминалистики знали о секретном инструменте аудита Office 365. А ведь многие компании избежали бы скандалов с утечкой данных, если бы знали об этом API.
Информация о Activities API скрывалось, т.к. в компании понимают, что внедрение такого инструмента без ведома пользователей поднимает ряд вопросов, в частности, этических. По умолчанию журналирование отключено и не входит в стандартные планы ProPlus и E1. Кроме того, за аудит аккаунтов компании вынуждены платить дополнительные деньги.
Специалисты по цифровой криминалистике из компании LMG Security призывают принять стандарты по журналированию активности и сделать его обязанностью облачных провайдеров.
Принятие стандартов предполагает не только ведение логов провайдерами, но и свободный доступ к ним клиентов и аудиторских компаний. Именно, всех клиентов, а не только избранных, как часть более дорогого тарифного плана или за отдельную плату.
Источник: habr
