Ilyen az, amikor a saját postaládád támad hátba

A Proton Mail össztűz alá került, amikor kiderült a spanyol hatóságok kérésére kiadta az adatokat az egyik felhasználójukról.

Hátba támadja a felhasználókat a Proton Mail?

Egy katalán függetlenségi szervezet, a Democratic Tsunami egyik tagját érintő jogi kérelemben játszott szerepe miatt került most a magánszféra védelmére szakosodott Proton Mail a középpontba.

A Proton Mail egy svájci székhelyű biztonságos e-mail szolgáltatás, amely az adatvédelem iránti elkötelezettségéről híres. Végpontok közötti titkosítás és a szigorú adatrögzítés-mentes politikája miatt vált népszerűvé az utóbbi évek során.

2021-ben a Proton Mail már egyszer éles vita középpontjába került, amikor eleget tett egy jogi kérésnek, amely egy francia klímaaktivista letartóztatásához vezetett. A svájci törvények értelmében a Proton Mail kénytelen volt összegyűjteni és átadni az egyén IP-címére vonatkozó információkat a svájci hatóságoknak, akik ezt követően megosztották ezt az információt a francia rendőrséggel.

A közelmúltban egy a spanyol rendőrségi ügy érintette kényesen a Proton Mailt. Az eset egyúttal a magánélet védelmére és a titkosított kommunikációs szolgáltatások korlátaira hívja fel a figyelmet, és ismét előtérbe helyez egy régóta vitatott témát.

A Proton Mail kiadta a felhasználó adatait a spanyol rendőrségnek

A vita lényege most abból ered, hogy a Proton Mail megadta a spanyol rendőrségnek a „Xuxo Rondinaire” álnevet használó személy Proton Mail-fiókjához társított másodlagos e-mail-címet. A fent nevezett egyén a katalán rendőrség tagja és a hatóság szerint a Democratic Tsunami mozgalom tagja is egyben, amit belső információkkal segít. [A Demokratikus Tsunami egy katalán tiltakozó csoport, az alapvető jogok védelmét és Katalónia önrendelkezését szeretné elérni.]

Miután a rendőrség megkapta a helyreállítási e-mailt a Proton Mailtől, a spanyol hatóságok arra kérték az Apple-t, hogy adjon meg további részleteket az e-mailfiókhoz kapcsolódóan. Ez pedig az egyén azonosításához vezetett.

Miért probléma ez?

Ez az eset azért különösen figyelemre méltó, mert egy sor kéréssel és megkereséssel jár a különböző joghatóságokon és vállalatokon keresztül.

Az eset jól kiemeli a technológiai cégek, a felhasználói adatvédelem és a bűnüldözés közötti összetett kapcsolatot. A kérelmeket a terrorizmusellenes törvények égisze alatt terjesztették elő. Azonban egyre több kérdés merül fel az ilyen intézkedések arányosságával és indokoltságával kapcsolatban.

A korábbiakhoz hasonlóan a Proton Mail ezen kérések teljesítését a svájci jog köti. Ez előírja az együttműködést a megfelelő csatornákon – a svájci bírósági rendszeren keresztül – formalizált nemzetközi jogi követelések útján.

A Proton Mail közel 6000 adatkérést teljesített 2022-ben. A beérkező levelek tartalma azonban továbbra is biztonságban maradt. Ezt a Proton cég külön kiemelte a közleményben, ahol az adatkérésről szó esett.

Felhívjuk mindenki figyelmét, hogy az e-mailek tartalma, mellékletei, fájlok stb. minden esetben titkosítva vannak, és azok nem olvashatóak el.

A jó OPSEC mindennél fontosabb

Ez a helyzet kritikus emlékeztetőül szolgál a szigorú OPSEC (operációs biztonság) fenntartásának fontosságára. Mindig tisztában kell lennie azokkal a lehetséges sebezhetőségi pontokkal, ami a helyreállítási információk vagy másodlagos szolgáltatások (például Apple-fiókok) összekapcsolásával járnak. Ezek ugyanis nem biztos, hogy ugyanazokkal az adatvédelmi biztosítékokkal rendelkeznek, mint az elsődleges titkosított e-mail szolgáltatás.

Az adatvédelem miatt aggódó felhasználók számára, különösen az érzékeny iparágban tevékenykedő vagy politikai tevékenységeket folytatók számára az OPSEC kiemelten fontos az adatvédelmi eszközök kiválasztásakor.

Célszerű az alábbi lépéseket megfontolni a biztonság érdekében:

• Kerüld a másodlagos e-mail-címek vagy telefonszámok összekapcsolását, amelyek közvetlenül kapcsolódhatnak a személyes identitásodhoz vagy az elsődleges üzleti tevékenységedhez.
• Fontold meg másodlagos, eldobható e-mailek vagy virtuális telefonszámok használatát. Ezek további anonimitást biztosíthatnak.
• Használj jó VPN-szolgáltatást az IP-cím elrejtéséhez, amikor csak lehetséges. (Ennek elmulasztása már kompromittált korábban egy Proton Mail-felhasználót Franciaországban, akit letartóztattak, miután a rendőrség megszerezte az IP-cím logokat.)
• Fontold meg a szolgáltatások vásárlását anonim fizetési mód használatával.
• Legyél tájékozott a kommunikációs szolgáltatók jogi kötelezettségeiről és irányelveiről. Különös tekintettel a nemzetközi bűnüldözési kérések teljesítésére vonatkozóan

Noha a Proton Mail és a hasonló szolgáltatások jelentős védelmet nyújtanak és végpontok közötti titkosítást kínálnak az e-mail platformjukon, nem mentesek a jogi és kormányzati nyomástól. A felhasználóknak körültekintően kell itt is működniük, egyensúlyba hozva a biztonság iránti igényt a szolgáltatók esetleges jogi kötelezettségeivel.

A RestorePrivacy megkereste a Proton Mail-t, hogy megjegyzést fűzzön az ügyhöz és beszámoljon a érintettségükről.

A Proton is nyilatkozatott adott ki az ügyben

A Proton most megerősítette az eset legfontosabb részleteit, és a következő megjegyzéssel látta el a RestorePrivacy oldalon megjelent cikket:

Tisztában vagyunk a spanyol terrorizmussal kapcsolatos üggyel, amely a spanyol királyt ért állítólagos fenyegetésekről szól, de általános szabályként nem kommentálunk konkrét eseteket. A Proton minimális információval rendelkezik a felhasználóiról, amit az is jól mutat, hogy ebben az esetben is az Apple-től kapott adatokat használták fel a terrorizmussal gyanúsított személy azonosítására. A Proton alapértelmezés szerint az adatvédelmet biztosítja, nem pedig az anonimitást. Az anonimitás ugyanis bizonyos felhasználói műveleteket igényel a megfelelő OpSec biztosításához. Például nem adjuk hozzá az Apple-fiókot opcionális helyreállítási módszerként. Megjegyzés: A Protonnak nincs szüksége helyreállítási címre, de a felhasználó megadhatja. Ezek az információk a svájci bírósági végzés alapján pedig átadhatók, mivel a terrorizmus törvénybe ütközik Svájcban – nyilatkozott a Proton szóvivője.