Microsoft обвинили в тайном сборе персональных данных пользователей Office

image

Теги: Microsoft, GDPR, телеметрия

Механизм сбора телеметрии, используемый компанией, нарушает нормы GDPR, считают нидерландские власти.

Microsoft скрыто собирает персональные данные пользователей корпоративной версии пакета Office ProPlus, тем самым нарушая требования Общего регламента по защите данных (GDPR). Согласно результатам исследования , проведенного специалистами компании Privacy Company по заказу Министерства безопасности и правосудия Нидерландов (Ministerie van Justitie en Veiligheid; JenV), через встроенный в Office механизм компания собирает большие объемы данных об индивидуальном использовании Word, Excel, PowerPoint и Outlook без надлежащего уведомления.

При этом, отмечается в очете, Microsoft не предоставляет возможность контролировать объем собираемых данных, отключить телеметрию или узнать, какую именно информацию собирает компания, поскольку она отправляется в зашифрованном виде. Как и в случае с Windows 10, Microsoft встроила отдельный модуль, который регулярно отправляет данные телеметрии на сервер в США. По словам исследователей, Microsoft собирает не только данные диагностики (стандартная практика среди разработчиков), но и содержимое используемых приложений, например, темы электронных писем или предложения из документов, в которых применялись инструменты для перевода и проверки правописания компании.

Согласно требованиям GDPR, данные пользователей в Евросоюзе должны храниться на серверах, расположенных в ЕС, однако, как выяснили специалисты, данные телеметрии нидерландских пользователей отправлялись на серверы в США, что предоставляет американским властям возможность получить доступ к информации. Нидерландские власти обеспокоены тем фактом, что собранная через систему телеметрии конфиденциальная информация, связанная с правительством, также может оказаться на этих серверах. По последним данным, пакет Office установлен на более чем 300 тыс. правительственных компьютеров.

Исследователи отметили более широкий масштаб сбора данных системой телеметрии в Office по сравнению с Windows 10. Если «десятка» собирает до 1,2 тыс. типов событий, к которым имеют доступ всего 10 команд инженеров, то в случае с Office речь идет о порядка 25 тыс. событий и 30 командах.

Специалисты передали Microsoft результаты исследования, по их словам, компания уже добавила опцию, позволяющую регулировать сбор данных или отключить телеметрию. Кроме того, техногигант пообещал предоставить документацию о сборе данных в Office, а также возможность устанавливать уровень телеметрии и просматривать собранную информацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.