Proton Mail
Proton Mail divulga dados de usuários que levam à prisão na Espanha
Atualização: Proton confirmou os principais detalhes deste caso e forneceu um comentário ao RestorePrivacy.
O Proton Mail foi alvo de escrutínio pelo seu papel num pedido legal envolvendo as autoridades espanholas e um membro da organização independentista catalã, Tsunami Democrático.
Proton Mail é um serviço de e-mail seguro com sede na Suíça, conhecido por seu compromisso com a privacidade por meio de criptografia de ponta a ponta e uma política rigorosa de não registro. Em 2021, o Proton Mail enfrentou polêmica ao atender a um pedido legal que levou à prisão de um ativista climático francês. Segundo a lei suíça, a Proton Mail foi obrigada a recolher e fornecer informações sobre o endereço IP do indivíduo às autoridades suíças, que depois as partilharam com a polícia francesa.
O caso recente, desta vez envolvendo a polícia espanhola, destaca as preocupações com a privacidade e os limites dos serviços de comunicação criptografada sob pretextos de segurança nacional, e traz mais uma vez à tona um assunto há muito debatido.
O cerne da controvérsia decorre do fato de o Proton Mail ter fornecido à polícia espanhola o endereço de e-mail de recuperação associado à conta do Proton Mail de um indivíduo que usava o pseudônimo ‘Xuxo Rondinaire’. Este indivíduo é suspeito de ser membro dos Mossos d'Esquadra (força policial da Catalunha) e de utilizar o seu conhecimento interno para ajudar o movimento Tsunami Democrático.
Ao receber o e-mail de recuperação do Proton Mail, as autoridades espanholas solicitaram ainda à Apple que fornecesse detalhes adicionais vinculados a esse e-mail, levando à identificação do indivíduo.
Este caso é particularmente digno de nota porque envolve uma série de pedidos em diferentes jurisdições e empresas, destacando a complexa interação entre empresas de tecnologia, privacidade dos utilizadores e aplicação da lei. Os pedidos foram feitos sob o pretexto de leis anti-terrorismo, apesar das principais actividades do Tsunami Democrático envolverem protestos e bloqueios de estradas, o que levanta questões sobre a proporcionalidade e justificação de tais medidas.
Como antes, o cumprimento destas solicitações por parte da Proton Mail está sujeito à lei suíça, que exige a cooperação com exigências legais internacionais que são formalizadas através dos canais apropriados (sistema judicial suíço).
No ano passado, quando observamos que o Proton Mail atendeu a quase 6.000 solicitações de dados em 2022, o Proton nos forneceu uma explicação de que o conteúdo da caixa de entrada permanece seguro.
Observe que em todos os casos o conteúdo do e-mail, anexos, arquivos etc. são sempre criptografados e não podem ser lidos.
Declaração Proton para RestorePrivacy no ano passado
Olhando para o relatório de transparência do Proton , descobrimos que o Proton Mail atendeu a 5.971 solicitações de dados somente no ano passado, um pouco acima do ano anterior.
Com tantas solicitações de dados acontecendo em segundo plano, é ainda mais importante proteger os dados que você compartilha com vários serviços.
A importância de um bom OPSEC
Esta situação serve como um lembrete crítico da importância de manter um OPSEC (segurança operacional) rigoroso. Deve-se sempre estar ciente das vulnerabilidades potenciais que acompanham a vinculação de informações de recuperação ou serviços secundários (como contas da Apple) que podem não ter as mesmas proteções de privacidade de um serviço de e-mail criptografado primário.
Para os utilizadores preocupados com a privacidade, especialmente aqueles envolvidos em atividades sensíveis ou políticas, o OPSEC deve ser uma das principais preocupações ao utilizar ferramentas de privacidade . É aconselhável:
- Evite vincular e-mails ou números de telefone de recuperação que possam estar diretamente vinculados a identidades pessoais ou atividades comerciais principais.
- Considere o uso de e-mails secundários descartáveis ou números de telefone virtuais que oferecem uma camada adicional de anonimato.
- Use um bom serviço VPN para ocultar seu endereço IP sempre que possível. (O não cumprimento disso foi o que comprometeu um usuário do Proton Mail na França, que foi preso depois que a polícia obteve registros de IP.)
- Considere adquirir serviços usando um método de pagamento anônimo .
- Mantenha-se informado sobre as obrigações legais e políticas dos prestadores de serviços de comunicação, especialmente no que diz respeito ao cumprimento dos pedidos de aplicação da lei internacional.
Embora o Proton Mail e serviços similares ofereçam proteções substanciais e criptografia ponta a ponta em sua plataforma de e-mail, eles não estão imunes a pressões legais e governamentais. Os utilizadores devem navegar nestas águas com cuidado, equilibrando a necessidade de segurança com as potenciais obrigações legais dos seus prestadores de serviços.
RestorePrivacy entrou em contato com o Proton Mail para comentar o caso e seu envolvimento exato, mas uma declaração não estava disponível imediatamente. no momento da publicação.
Atualização: Declaração da Proton e comentários adicionais
A Proton agora confirmou os principais detalhes deste caso e forneceu ao RestorePrivacy o seguinte comentário:
Temos conhecimento do caso de terrorismo espanhol envolvendo alegadas ameaças ao Rei de Espanha, mas regra geral não comentamos casos específicos. O Proton possui informações mínimas do usuário, conforme ilustrado pelo fato de que, neste caso, os dados obtidos da Apple foram usados para identificar o suspeito de terrorismo. O Proton fornece privacidade por padrão e não anonimato por padrão porque o anonimato requer certas ações do usuário para garantir OpSec adequado, como não adicionar sua conta Apple como um método de recuperação opcional. Observe que o Proton não exige a adição de um endereço de recuperação, pois essas informações podem, em teoria, ser entregues sob ordem judicial suíça, já que o terrorismo é contra a lei na Suíça.
Porta-voz da Proton
Em um email para RestorePrivacy, Proton também apontou que adicionar um email de recuperação é opcional. Embora isso seja verdade, também observamos que o Proton Mail exige um endereço de e-mail de verificação para a criação de uma conta. Conforme testado hoje, o Proton exigia um e-mail de verificação ao se inscrever por meio de um serviço VPN e também do Tor.
Comentários
Postar um comentário