Веб-почта Microsoft Office 365 раскрывает IP-адреса пользователей

Плохие новости для тех, кто пользуется веб-почтой Microsoft Office 365. Оказывается, сервис предоставляет локальные IP-адреса отправителей электронных писем их получателям.

Как сообщается, интерфейс веб-почты Microsoft Office 365 имеет функцию, которая открывает локальный IP-адрес отправителя получателю. Об этом стало известно после того, как пентестер Джейсон Ланг запостил твит, демонстрирующий эту фичу.

Оказалось, что графический интерфейс Outlook 365 раскрывает исходный IP-адрес устройства, с которого было отправлено письмо, через дополнительные заголовки сообщений электронной почты.

При отправке электронного письма через Office 365 (https://outlook.office365.com/) служба вставит в сообщение электронной почты дополнительный заголовок x-originating-ip, содержащий IP-адрес подключающегося клиента, который в этом случае является локальным IP-адресом пользователя.

Подобным образом конфиденциальность пользователя нарушает только веб-почта Office 365. У других сервисов, таких как Yahoo, Gmail или даже Outlook.com, похожих функций найдено не было.

Открытый IP-адрес в веб-почте Microsoft Office 365 это не глитч или баг. Это преднамеренный шаг Microsoft, поскольку похожую функцию удалили из Hotmail ещё в 2013 году в качестве шага к обеспечению конфиденциальности пользователей. Однако в Office 365 эта функция оставалась активной, чтобы упростить администраторам анализ электронных писем, которые отправляют их организации, и определять местонахождение отправителей в случае взлома учётной записи.

Поскольку в ближайшем будущем исправить уязвимость IP-адреса не представляется возможным, пользователи, которые хотят скрыть свои IP-адреса, должны искать обходные пути. Это может быть использование VPN или безопасных браузеров, таких как Tor или Brave.

Кроме того, администраторы Office 365 могут отключить эту функцию, создав новое правило в центре администрирования Exchange.