Hagenah mengatakan seorang penyerang bisa mendapatkan banyak informasi tentang target mereka, termasuk wawasan tentang email mereka, percakapan pribadi, dan informasi sensitif yang tertangkap oleh Recall.
Karya Hagenah didasarkan pada temuan dari peneliti keamanan cyber Kevin Beaumont, yang telah menjelaskan seberapa besar informasi yang ditangkap Recall dan seberapa mudahnya untuk mengekstraknya. Beaumont juga mengatakan bahwa dia telah membangun sebuah situs web di mana database Recall dapat diunggah dan langsung dicari. Dia mengatakan bahwa dia belum merilis situs tersebut, untuk memberikan waktu kepada Microsoft untuk berpotensi mengubah sistemnya. “InfoStealer trojans, yang secara otomatis mencuri nama pengguna dan sandi, merupakan masalah utama selama lebih dari satu dekade – sekarang ini dapat dengan mudah dimodifikasi untuk mendukung Recall,” tulis Beaumont.
Kritik itu muncul ketika hack sistem Microsoft telah menyebabkan berbagai pelanggaran data pemerintah AS; Nadella mengatakan bahwa keamanan harus menjadi “prioritas utama” Microsoft. Microsoft tidak menanggapi permintaan komentar WIRED tentang fitur keamanan Recall pada saat publikasi.
Halaman privasi Recall mengatakan bahwa memungkinkan untuk menonaktifkan penyimpanan tangkapan layar (mengubah Recall menjadi off), menjeda sistem sementara, menyaring aplikasi di mana tangkapan layar diambil, dan menghapus apa yang dikumpulkan kapan saja. Recall berjalan di laptop itu sendiri, menyimpan data yang ditangkap pada perangkat dan tidak mengirim informasi ini ke server Microsoft. Hagenah mengatakan bahwa klaim ini tampaknya benar, tanpa tanda-tanda bahwa data dikirimkan ke Microsoft.
Microsoft, setidaknya, menyadari beberapa masalah privasi dan keamanan yang mungkin terkait dengan Recall: Halaman bantuan mereka mengatakan bahwa sistem tidak melakukan moderasi konten pada apa yang terkandung dalam gambar yang disimpan. Ini berarti, kata Microsoft dalam panduannya, bahwa mereka tidak akan “menyembunyikan informasi seperti kata sandi atau nomor akun keuangan.” Peneliti keamanan telah dapat mengekstrak kata sandi dari Recall.
Basis data utama Recall disimpan di direktori sistem laptop, dan meskipun membutuhkan hak administrator untuk mengakses, serangan eskalasi hak akses telah ada selama bertahun-tahun, membuatnya secara teoritis memungkinkan bagi seorang penyerang untuk mendapatkan akses awal ke perangkat dari jarak jauh.
Hagenah mengatakan bahwa dalam kasus majikan dengan kebijakan “membawa perangkat sendiri”, ada risiko seseorang pergi dengan sejumlah besar data perusahaan yang disimpan di laptop mereka. Itu merupakan risiko khusus jika mereka merasa tidak puas atau pergi dengan kondisi yang buruk, katanya. Pengawas perlindungan data Inggris, Kantor Komisioner Informasi, telah meminta Microsoft untuk memberikan lebih banyak detail tentang Recall dan privasinya.
Sementara Recall tetap sebagai fitur “pratinjau” dan, menurut catatan kecil Microsoft, bisa berubah sebelum diluncurkan, Beaumont menulis dalam penelitiannya bahwa perusahaan “harus mencabut Recall dan menyesuaikannya untuk menjadi fitur yang pantas, disampaikan pada tanggal yang lebih lambat.” Dia menambahkan: “Mereka juga perlu meninjau keputusan internal yang menyebabkan situasi ini, karena hal seperti ini seharusnya tidak terjadi.”