Anunțul făcut de Microsoft privind lansarea unei funcții „Chat with Anyone” în cadrul aplicației Teams ridică o serie de probleme serioase din punct de vedere juridic și al securității informatice. Această opțiune, care va permite inițierea de conversații cu orice persoană folosind doar o adresă de e-mail, chiar dacă destinatarul nu este utilizator activ al platformei, este promovată ca o soluție de flexibilizare a comunicării în contextul muncii hibrid.
În realitate, însă, această nouă funcție extinde considerabil zona de atac la care sunt expuse firmele și angajații lor, creând un canal slab securizat prin care pot fi transmise informații sensibile, pot fi derulate atacuri de tip phishing sau pot fi distribuite fișiere malițioase.
Prin natura sa, această funcție elimină validarea identității interlocutorului, etapă esențială de control și permite o comunicare directă, nefiltrată și greu de monitorizat.
Cu alte cuvinte, orice persoană care deține o adresă de e-mail poate trimite sau primi o invitație în Teams, urmând ca discuția să se desfășoare într-un spațiu care nu mai poate fi considerat sigur.
În acest context, este esențial să înțelegem natura atacurilor de tip phishing, întrucât acest mecanism este principalul instrument utilizat de atacatori în scenarii similare, pentru că phishingul nu este un virus informatic în sensul clasic al cuvântului, ci o formă de fraudă informatică bazată pe manipulare și înșelăciune.
Atacatorul se prezintă ca o persoană sau o entitate cunoscută, de exemplu, un coleg, un partener comercial, un furnizor sau o instituție și convinge victima să ofere, de bunăvoie, informații sensibile.
Aceste informații pot varia de la parole și date bancare, până la documente interne, fișiere de lucru sau acces la sisteme informatice.
Atacurile de tip phishing sunt dificil de detectat și, adesea, imposibil de oprit dacă utilizatorul nu este educat în recunoașterea indiciilor subtile care le însoțesc.
Din punct de vedere juridic, implicațiile sunt multiple. În primul rând, operatorul de date care utilizează aplicația Teams în această configurație devine direct responsabil pentru eventualele scurgeri de date cauzate de folosirea necorespunzătoare a funcționalității.
Regulamentul general privind protecția datelor (GDPR) impune obligația ca toate prelucrările de date să fie realizate în condiții de securitate, raportată la natura datelor și la riscurile asociate, iar dacă un angajat comunică informații personale sau sensibile unei persoane care a pătruns în sistem printr-o invitație falsă, responsabilitatea revine angajatorului, în măsura în care nu a implementat suficiente măsuri de prevenție, atât tehnice cât și educaționale.
Așadar, activarea implicită a funcției „Chat with Anyone” de către Microsoft implică un risc major pentru firmele care nu realizează o evaluare efectivă a modificărilor survenite în infrastructura digitală utilizată.
Este important de știut și faptul că dezactivarea funcției „Chat with Anyone” presupune intervenții tehnice care nu sunt întotdeauna ușor accesibile administratorilor IT, deoarece este nevoie de modificarea manuală a politicilor Teams, folosind instrumente de tip PowerShell, o procedură care presupune un anumit nivel de competență tehnică.
În mod evident, simpla existență a unei opțiuni de dezactivare nu exonerează firma de răspundere, astfel că, în măsura în care se va dori utilizarea noii funcții, operatorul va trebui să adopte măsuri de evaluare a impactului asupra protecției datelor, de instruire a personalului și, mai ales, de limitare a accesului extern la sistemele interne de comunicare.
Un alt aspect care nu poate fi ignorat este faptul că Microsoft oferă această funcționalitate într-un moment în care piața digitală se confruntă cu o creștere accelerată a atacurilor cibernetice de tip spear phishing, în care mesajele sunt atent personalizate și adaptate profilului victimei.
În aceste condiții, orice canal de comunicare nefiltrat devine o potențială breșă, iar percepția falsă de siguranță indusă de platforme consacrate precum Teams sporește eficiența atacurilor.
https://www.blackarrowcyber.com/blog/threat-briefing-14-november-2025
Eliza Ene Corbeanu 
Lasă un comentariu