Nghị viện EU chặn ứng dụng Outlook mới vì mối lo bảo mật

Truy cập vào các ứng dụng Outlook mới của Microsoft đã bị chặn đối với các thành viên của Nghị viện châu Âu vì “vấn đề an ninh nghiêm trọng”.

Microsoft thiết lập một ứng dụng Outlook mới cho iOS và Android chỉ hơn một tuần trước đây. Ứng dụng mới về cơ bản là một phiên bản thay đổi thương hiệu của một ứng dụng mail tạo ra bởi Acompli, một công ty Microsoft đã mua lại vào tháng 12 với tin đồn 200 triệu USD.

Mặc dù vậy, việc truy cập ứng dụng đã bị bộ phận IT của Quốc hội, DG ITEC, chặn lại hôm thứ sáu (6/2), để bảo vệ sự bảo mật và tính riêng tư của người sử dụng, theo một email IDG News Service phát hiện ra.

“Xin vui lòng không cài đặt ứng dụng này, và trong trường hợp bạn đã làm như vậy cho mail công ty EP của bạn, xin vui lòng gỡ bỏ cài đặt nó ngay lập tức và thay đổi mật khẩu của bạn”, email thông báo.

Các ứng dụng sẽ gửi thông tin mật khẩu cho Microsoft mà không xin phép và sẽ lưu trữ email trong một dịch vụ đám mây của bên thứ ba mà Quốc hội không có quyền điều khiển, DG ITEC bổ xung trong một tin nhắn trên mạng nội bộ của Quốc hội.

Ứng dụng Outlook mới của Microsoft về cơ bản đóng vai trò như một hộp thư email cho tài khoản mail Exchange, Outlook, iCloud, Google và Yahoo.

Dịch vụ trích xuất tin nhắn đến và đi, dữ liệu về lịch và danh bạ địa chỉ liên lạc và đưa chúng một cách an toàn tới ứng dụng. Những tin nhắn, sự kiện trên lịch và danh bạ, cùng với siêu dữ liệu liên quan của chúng, “có thể được lưu trữ tạm thời và lập danh sách một cách an toàn cả trên các máy chủ của chúng tôi và lưu trữ cục bộ trên các ứng dụng trong thiết bị của bạn”, theo chính sách riêng tư của Acompli. Email đính kèm cũng sẽ được lưu tạm thời trên máy chủ của nó.

Các tài khoản email sử dụng Microsoft Exchange yêu cầu người dùng cung cấp thông tin đăng nhập email, bao gồm tên, mật khẩu, URL máy chủ, và tên miền máy chủ, các tài khoản khác như tài khoản Google Gmail sử dụng cơ chế ủy quyền OAuth không yêu cầu lưu trữ mật khẩu.

Thông tin của mỗi người dùng là hai mã hóa bằng cách sử dụng một khóa duy nhất cho mỗi tài khoản máy chủ và sau đó sử dụng một khóa duy nhất cho thiết bị máy con, do đó các thông tin chỉ có thể được mở khóa bởi sự hợp tác của cả máy chủ và ứng dụng trong thời gian chạy, theo trang an ninh của Acompli.

Không chỉ nghị viện châu Âu nghĩ điều này không đủ an toàn: Một số tổ chức khác đã cấm ứng dụng Outlook vì cách nó lưu trữ mật khẩu.

Ví dụ như đại học Wisconsin công bố tuần trước rằng trường này sẽ bắt đầu chặn các ứng dụng từ thứ hai (9/2). Ứng dụng lưu trữ thông tin đăng nhập trong đám mây, trong đó đặt ra một nguy cơ bảo mật rõ ràng bởi vì dịch vụ điện toán đám mây không được trường đại học giám sát, một bài đăng blog cho biết, thêm vào đó các trường đại học khác đang gặp vấn đề tương tự.

Tại Hà Lan, Đại học Công nghệ Delft thông báo cũng bắt đầu chặn ứng dụng vì chỉ lưu dữ liệu liên lạc và mật khẩu trong đám mây.

Một phát ngôn viên của Microsoft cho biết khả năng an ninh và sự riêng tư của ứng dụng, cũng như quyền điều khiển có sẵn cho quản trị viên CNTT, đáp ứng các ngưỡng yêu cầu của công ty. Mặc dù nếu khách hàng có mối lo ngại, họ có thể làm theo hướng dẫn về kiểm soát thiết bị truy cập trên Microsoft TechNet để chặn ứng dụng và tiếp tục sử dụng Outlook Web Access (OWA) cho iPhone, iPad, và các ứng dụng Android, ông cho biết thêm.

Pcworld