De versleutelingsmethode van e-mails in Microsofts Office 365-pakket blijkt niet helemaal waterdicht te zijn. In de versleutelde data zijn patronen te herkennen, waardoor de inhoud van e-mails mogelijk toch gedeeltelijk achterhaald kan worden.
Microsofts OME (Office 365 Message Encryption) gebruikt de zogenaamde ECB-blokvercijfering, waarbij data in blokjes verdeeld versleuteld wordt. De blokgrootte is steeds hetzelfde, waardoor twee dezelfde stukjes tekst er na versleuteling dus ook nog hetzelfde uitzien.
Het gevolg daarvan is dat je bij het vergelijken van grotere hoeveelheden versleutelde tekst (of e-mails in dit geval) patronen gaat ontdekken, en de inhoud dus weer kunt ontcijferen. De kwetsbaarheid werd in januari al ontdekt door een onderzoeker van beveiligingsbedrijf WithSecure. Microsoft erkende de fout en beloonde de onderzoeker, maar heeft nog steeds geen patch uitgebracht. Na herhaaldelijk navragen door WithSecure blijkt Microsoft het risico niet groot genoeg te vinden om aanpassingen te maken.