Proton Mail

Proton Mail divulga dados de usuários que levam à prisão na Espanha

6 de maio de 2024 Por Alex Lekander - 23 comentários

Atualização: Proton confirmou os principais detalhes deste caso e forneceu um comentário ao RestorePrivacy.

O Proton Mail foi alvo de escrutínio pelo seu papel num pedido legal envolvendo as autoridades espanholas e um membro da organização independentista catalã, Tsunami Democrático.

Proton Mail é um serviço de e-mail seguro com sede na Suíça, conhecido por seu compromisso com a privacidade por meio de criptografia de ponta a ponta e uma política rigorosa de não registro. Em 2021, o Proton Mail enfrentou polêmica ao atender a um pedido legal que levou à prisão de um ativista climático francês. Segundo a lei suíça, a Proton Mail foi obrigada a recolher e fornecer informações sobre o endereço IP do indivíduo às autoridades suíças, que depois as partilharam com a polícia francesa.

O caso recente, desta vez envolvendo a polícia espanhola, destaca as preocupações com a privacidade e os limites dos serviços de comunicação criptografada sob pretextos de segurança nacional, e traz mais uma vez à tona um assunto há muito debatido.

O cerne da controvérsia decorre do fato de o Proton Mail ter fornecido à polícia espanhola o endereço de e-mail de recuperação associado à conta do Proton Mail de um indivíduo que usava o pseudônimo ‘Xuxo Rondinaire’. Este indivíduo é suspeito de ser membro dos Mossos d'Esquadra (força policial da Catalunha) e de utilizar o seu conhecimento interno para ajudar o movimento Tsunami Democrático.

Ao receber o e-mail de recuperação do Proton Mail, as autoridades espanholas solicitaram ainda à Apple que fornecesse detalhes adicionais vinculados a esse e-mail, levando à identificação do indivíduo.

Este caso é particularmente digno de nota porque envolve uma série de pedidos em diferentes jurisdições e empresas, destacando a complexa interação entre empresas de tecnologia, privacidade dos utilizadores e aplicação da lei. Os pedidos foram feitos sob o pretexto de leis anti-terrorismo, apesar das principais actividades do Tsunami Democrático envolverem protestos e bloqueios de estradas, o que levanta questões sobre a proporcionalidade e justificação de tais medidas.

Como antes, o cumprimento destas solicitações por parte da Proton Mail está sujeito à lei suíça, que exige a cooperação com exigências legais internacionais que são formalizadas através dos canais apropriados (sistema judicial suíço).

No ano passado, quando observamos que o Proton Mail atendeu a quase 6.000 solicitações de dados em 2022, o Proton nos forneceu uma explicação de que o conteúdo da caixa de entrada permanece seguro.

Observe que em todos os casos o conteúdo do e-mail, anexos, arquivos etc. são sempre criptografados e não podem ser lidos.

Declaração Proton para RestorePrivacy no ano passado

Olhando para o relatório de transparência do Proton , descobrimos que o Proton Mail atendeu a 5.971 solicitações de dados somente no ano passado, um pouco acima do ano anterior.

Proton Mail atendeu 5.971 solicitações de dados em 2023.

Com tantas solicitações de dados acontecendo em segundo plano, é ainda mais importante proteger os dados que você compartilha com vários serviços.

A importância de um bom OPSEC

Esta situação serve como um lembrete crítico da importância de manter um OPSEC (segurança operacional) rigoroso. Deve-se sempre estar ciente das vulnerabilidades potenciais que acompanham a vinculação de informações de recuperação ou serviços secundários (como contas da Apple) que podem não ter as mesmas proteções de privacidade de um serviço de e-mail criptografado primário.

Para os utilizadores preocupados com a privacidade, especialmente aqueles envolvidos em atividades sensíveis ou políticas, o OPSEC deve ser uma das principais preocupações ao utilizar ferramentas de privacidade . É aconselhável:

• Evite vincular e-mails ou números de telefone de recuperação que possam estar diretamente vinculados a identidades pessoais ou atividades comerciais principais.
• Considere o uso de e-mails secundários descartáveis ​​ou números de telefone virtuais que oferecem uma camada adicional de anonimato.
• Use um bom serviço VPN para ocultar seu endereço IP sempre que possível. (O não cumprimento disso foi o que comprometeu um usuário do Proton Mail na França, que foi preso depois que a polícia obteve registros de IP.)
• Considere adquirir serviços usando um método de pagamento anônimo .
• Mantenha-se informado sobre as obrigações legais e políticas dos prestadores de serviços de comunicação, especialmente no que diz respeito ao cumprimento dos pedidos de aplicação da lei internacional.

Embora o Proton Mail e serviços similares ofereçam proteções substanciais e criptografia ponta a ponta em sua plataforma de e-mail, eles não estão imunes a pressões legais e governamentais. Os utilizadores devem navegar nestas águas com cuidado, equilibrando a necessidade de segurança com as potenciais obrigações legais dos seus prestadores de serviços.

RestorePrivacy entrou em contato com o Proton Mail para comentar o caso e seu envolvimento exato, mas uma declaração não estava disponível imediatamente. no momento da publicação.

Atualização: Declaração da Proton e comentários adicionais

A Proton agora confirmou os principais detalhes deste caso e forneceu ao RestorePrivacy o seguinte comentário:

Temos conhecimento do caso de terrorismo espanhol envolvendo alegadas ameaças ao Rei de Espanha, mas regra geral não comentamos casos específicos. O Proton possui informações mínimas do usuário, conforme ilustrado pelo fato de que, neste caso, os dados obtidos da Apple foram usados ​​para identificar o suspeito de terrorismo. O Proton fornece privacidade por padrão e não anonimato por padrão porque o anonimato requer certas ações do usuário para garantir OpSec adequado, como não adicionar sua conta Apple como um método de recuperação opcional. Observe que o Proton não exige a adição de um endereço de recuperação, pois essas informações podem, em teoria, ser entregues sob ordem judicial suíça, já que o terrorismo é contra a lei na Suíça.

Porta-voz da Proton

Em um email para RestorePrivacy, Proton também apontou que adicionar um email de recuperação é opcional. Embora isso seja verdade, também observamos que o Proton Mail exige um endereço de e-mail de verificação para a criação de uma conta. Conforme testado hoje, o Proton exigia um e-mail de verificação ao se inscrever por meio de um serviço VPN e também do Tor.