S-a raportat că ultima iterație a aplicației Outlook trimite diverse tipuri de date către serverele Microsoft. Printre acestea se numără, dar nu se limitează la, conținutul e-mailurilor utilizatorilor și credențiale de acces potențial sensibile. Odată cu trecerea la Outlook actualizat, există un consimțământ implicit care permite Microsoft să acceseze informațiile de e-mail ale utilizatorilor.
Heise Online a dezvăluit că, dincolo de conținutul e-mailurilor, aplicația trimite, de asemenea, credențiale IMAP și SMTP legate de conturile de utilizator. În timpul procesului de adăugare de noi conturi de e-mail, Outlook precizează clar că va sincroniza datele cu serviciile de cloud ale Microsoft, după cum se precizează: „Tot ceea ce creați în Outlook este stocat în Microsoft Cloud”. Utilizatorii care doresc informații suplimentare sunt direcționați către un articol de asistență din partea Microsoft.
Intenția Microsoft cu această sincronizare este de a oferi o experiență de utilizare fără întreruperi, conform explicației lor. Outlook actualizat este conceput pentru a sincroniza conturile non-Microsoft, care includ e-mailuri, contacte și evenimente din calendar, cu cloud-ul Microsoft. Această funcție este compatibilă cu diverse conturi, cum ar fi Gmail, Yahoo, iCloud și alte servicii IMAP, în diferite aplicații Outlook. Scopul este de a face ca anumite funcții, altădată exclusive pentru conturile Microsoft 365 sau Microsoft Exchange Online, să fie accesibile unei game mai largi de utilizatori. Această sincronizare asigură coerența e-mailurilor, a intrărilor din calendar și a contactelor între serviciul de e-mail al utilizatorului și centrele de date ale Microsoft.
Cu toate acestea, domeniul de aplicare al colectării de date de către Microsoft se extinde dincolo de acest aspect. Potrivit Heise Online, noul Outlook este configurat să trimită detaliile de conectare, inclusiv numele de utilizator și parolele, către serverele Microsoft. Deși acest transfer este securizat cu TLS, datele de identificare sunt transmise în text simplu în cadrul canalului protejat. Acest lucru indică faptul că Microsoft are potențialul de a accesa acreditările IMAP și SMTP fără a notifica în mod explicit utilizatorii sau a obține consimțământul direct. Utilizarea unui cont Google cu Outlook pare să ofere un peisaj de confidențialitate ușor diferit. Atunci când este autentificat prin OAuth2, doar un token de acces este transferat către Microsoft, pe care utilizatorii au opțiunea de a-l revoca. În astfel de cazuri, detaliile sensibile de conectare, cum ar fi numele de utilizator și parolele, nu sunt transmise către Microsoft.