Безопасность сторонних почтовых клиентов

В начале декабря состоялся долгожданный релиз десктопной версии почтового клиента Spark для macOS. Это приложение пользуется популярностью на iPhone и iPad за счет привлекательного дизайна, всей необходимой (но не избыточной) функциональности, а также большого количества востребованных опций типа закрепления важных писем, умной папки «Входящие», уведомлений о прочтении и так далее. Компания Apple оперативно внесла Spark для macOS в список лучших приложений года в Mac App Store, что только добавило популярности этому почтовому клиенту. Лично я пользуюсь Spark на iPhone, iPad Pro, а с момента начала бета-тестирования десктопной версии отказался от «тяжелого» AirMail на Mac. Впрочем, у бесплатного почтового клиента с удобным интерфейсом и отличной функциональностью все-таки есть подводные камни. Разработчик Владимир Шабанов в Facebook обратил внимание пользователей на политику конфиденциальности Spark.

Почему опасны бесплатные неофициальные email приложения вроде Spark? Потому что они получают доступ ко всем вашим письмам вне вашего ноутбука, айфона и gmail у себя на сервере — и когда его взломают, большинство ваших аккаунтов в магазинах, соцсетях, платежных системах, дейтингах, букингах, стимах и дропбоксах тоже окажутся взломаны. А у компаний, которые разрабатывают такие приложения, нет мотива вкладываться в безопасность, потому что они не берут с вас денег за приложение.

Чтобы не копировать очень большой текст с предысторией, советами и выводами, советуем прочитать о Spark в публикации Владимира Шабанова. А в редакции iG мы задались вопросом: как на самом деле обстоят дела со сбором и хранением пользовательских данных при использовании сторонних почтовых клиентов? Для этого мы заглянули в непопулярные среди большинства пользователей разделы «Политика конфиденциальности» и выбрали оттуда главные факты, которые вам нужно знать при использовании сторонних почтовых клиентов на Mac. Вкратце речь идет о том, что практически все приложения отправляют на серверы разработчиков пользовательские данные, включая адреса электронной почты, в некоторых случаях пароли, тексты писем, списки контактов, данные календаря и различные обезличенные данные. А некоторые приложения даже собирают сведения об устройствах, номера телефонов, местоположение или полностью копируют на сервер все доступные в аккаунте электронной почты данные. Также мы спросили Яндекс и Mail.ru относительно сбора пользовательских данных и писем при работе с учетными записями сторонних сервисов и механизма отправки push-уведомлений о новых письмах, однако представители компаний не смогли оперативно ответить на запрос редакции.

Разумеется, каждый разработчик заявляет о том, что пользовательская информация хранится на надежных серверах типа Amazon Web Services, а также они все предпринимают некие дополнительные меры защиты. Однако нужно ли говорить, что о стопроцентной безопасности речь не идет? В то время как порой происходят утечки пользовательских данных самых крупных и надежных интернет-компаний, полагаться на защиту небольших стартапов было бы опрометчиво. С одной стороны от всех угроз можно отмахнуться под предлогом того, что в вашей почте нет никаких секретных данных, но не стоит забывать, что для злоумышленников даже в самом скучном почтовом ящике найдется много всего интересного. В наше время адрес электронной почты выполняет роль ключевого идентификатора, к которому привязываются аккаунты платежных систем, социальных сетей, различных сайтов и сервисов, а в некоторых случаях пароль от электронной почты подходит к другим учетным записям, что повышает возможный ущерб от взлома. Проще говоря, нельзя безалаберно относиться к выбору почтового клиента, а при использовании стороннего софта обязательно нужно понимать, какие именно данные вы передаете разработчикам.

Spark

Spark

1. Помимо обезличенной статистической информации об использовании приложения вас могут попросить предоставить некоторую личную информацию.
2. Первый адрес электронной почты, который будет добавлен, используется в качестве имени пользователя. На него вам могут отправлять письма с информацией о новых функциях, обновлениях, объявлениях и запросы оставить отзыв об использовании.
3. Серверы Spark используются только для доставки push-уведмолений, а в некоторых случаях для отправки сообщений по электронной почте.
4. Учетные записи, если это возможно, добавляются с помощью аутентификации OAuth. В противном случае адреса и пароли хранятся на облачном сервере Amazon Web Services.
5. Помимо политики безопасности Amazon Web Services, Spark используют ряд мер, предотвращающих доступ к данным третьими лицами, а также протокол HTTPS и ассиметричное шифрование данных учетных записей.
6. Spark загружает на сервер тему и часть письма для отправки push-уведомления и удаляет эти данные сразу после доставки уведомления. Сообщения хранятся в зашифрованном виде на сервере.

Polymail

Polymail

1. Почтовый клиент может запрашивать добровольную передачу таких данных как имя адрес электронной почты, номер телефона и банковской карты. 
2. Polymail собирает и хранит данные о сценариях использования приложения и его функций, а также мобильных устройствах, на котором оно работает, включая: операционную систему, модель смартфона или планшета, уникальные идентификаторы устройства, информацию мобильной связи и номер телефона.
3. При использовании Polymail разработчики могут собирать информацию о местоположении пользователя, IP-адреса, данные GPS, а также информацию с других сенсоров мобильного устройства.
4. Polymail собирает и хранит информацию о контактах пользователей, с которыми вы обмениваетесь письмами. Эти данные служат для улучшения работы сервиса.
5. Polymail собирает и хранит информацию об отправленных письмах (тему письма и вложения) для обеспечения работы функции уведомления о прочтении.
6. Для улучшения сервиса Polymail индексируем письма: дату получения сообщения, папки и имена отправителей.
7. Cookies и прочие анонимные идентификаторы собираются и хранятся Polymail и ее партнерами.

Airmail

Airmail

1. Почтовый клиент Airmail не собирает и не хранит письма на облачных серверах. При использовании таких опций как Snooze Sync, все необходимые данные синхронизируются непосредственно между устройствами.
2. Airmail собирает и хранит такие данные как Cookies, обезличенную информацию о сценариях использования приложения и адреса электронной почты.
3. Сбор и использование Cookies производится только с целью идентификации пользователя для сохранения настроек и для предоставления требуемых пользователем услуг.
4. В некоторых случаях доступ к собранным и хранящимся на серверах данным может быть предоставлен некоторым сотрудникам, связанным с работой Airmail: администраторам, специалистам по продажам, маркетологам, юристам.
5. Пользовательские данные собираются для обеспечения работы Airmail, а также для следующих целей: взаимодействие со сторонними социальными сетями и платформами, управления контактами и отправки сообщений, аналитики, ремаркетинга, поведенческого таргетинга, в коммерческих целях, для обработки платежей, взаимодействия со службой технической поддержки и обратной связи.

Newton by CloudMagic

Newton by CloudMagic

1. Если учетная запись не поддерживает аутентификацию OAuth, логин и пароль хранятся на облачном сервере AWS.
2. На облачные серверы происходит загрузка писем для отправки push-уведомлений.
3. Письма загружаются за последние 14 дней на мобильных устройствах и за 60 дней на Mac.
4. Newton получает и хранит информацию от наших партнеров о пользователях, которые отправляют вам сообщения по электронной почте.
5. Для использования функции «Отметка о прочтении» Newton собирает и хранит данные об отправленных письмах.
6. Newton обещает, что не продает и не передает третьим лицам персональную информацию, а также использует протокол HTTPS и дополнительные инструменты защиты при передачи данных на серверы AWS.

Canary


Canary
 
1. Использование почтового клиента Canary не предусматривает предоставление доступа к персональным данным пользователей и передачу их на облачные серверы.

Nylas N1

Nylas N1

1. При создании аккаунта Nylas N1 собирает и хранит персональные данные, например, адрес электронной почты, имя и фамилию, которые могут быть использованы для идентификации.
2. При использовании приложения Nylas N1 собирает и хранит данные учетной записи и связанные пароли.
3. Ввод данные учетной записи электронной почты означает согласие на предоставление Nylas N1 прав на создание копии всего содержимого почтового ящика, календаря и списка контактов.
4. Nylas N1 также использует автоматизированные средства сбора данных, такие как Cookies и Web Beacons.

Outlook


Outlook

1. Почта, календари, файлы, контакты, параметры и другие данные из нее будут автоматически синхронизироваться с устройством посредством облачного сервера.
2. Outlook хранит данные на серверах Майкрософт для поддержки дополнительных возможностей, таких как быстрый поиск, персонализированная фильтрация менее важной почты и добавление вложений из связанных поставщиков хранилища.

Unibox

Unibox

1. На официальном сайте приложения информация в разделе «Политика конфиденциальности» относится только к работе самого сайта Unibox. Информация о сборе и хранении персональных и обезличенных данных при использовании почтового клиента Unibox отсутствует.


Безопасность сторонних почтовых клиентов на Mac