Несмотря на распространённое мнение о том, что почтовые сервисы от Microsoft 365 и Google Workspace автоматически обеспечивают безопасную передачу сообщений, новое исследование компании Paubox доказывает обратное. При сбоях в шифровании письма могут быть отправлены в незащищённом виде — и без каких-либо уведомлений пользователю.
Проблема, как подчёркивается в отчёте, заключается не в редких технических сбоях, а в специфике работы самих платформ по умолчанию:
- Google Workspace при отсутствии поддержки современных протоколов шифрования у сервера-получателя переключается на устаревшие TLS 1.0 или 1.1, несмотря на то, что они давно признаны небезопасными.
- Microsoft 365, в свою очередь, отказывается использовать устаревшие TLS, но вместо этого просто отправляет письмо в незашифрованном виде, никак не уведомляя отправителя.
В обоих случаях пользователь не получает предупреждения об отсутствии шифрования, что может привести к серьёзным последствиям, особенно в критически важных секторах, таких как здравоохранение.
По данным Paubox:
- В 2024 году платформа Microsoft 365 стала причиной 43% утечек электронной почты в сфере здравоохранения.
- 31,1% организаций, пострадавших от подобных утечек, имели неправильно настроенный TLS, даже несмотря на активированные настройки “force TLS”.
Как подчёркивают специалисты Paubox: «Уверенность без прозрачности — прямой путь к компрометации данных».
Источник: TechRadar
