Proton Mail divulga dados de usuário, levando a prisão na Espanha

 (restoreprivacy.com)
1 pontos por GN⁺ 2024-05-08 | 1 comentários | Compartilhar no WhatsApp

  • Em relação a um pedido legal das autoridades espanholas, o Proton Mail divulgou dados de um membro da organização pró-independência da Catalunha Democratic Tsunami. Como resultado, esse membro foi preso.

  • O Proton Mail é um serviço de e-mail seguro com sede na Suíça, conhecido por sua criptografia de ponta a ponta e por sua rígida política de não manter logs. Em 2021, a empresa já havia atendido a um pedido legal relacionado à prisão de ativistas climáticos franceses.

  • O ponto central deste caso é que o Proton Mail forneceu à polícia espanhola o endereço de e-mail de recuperação vinculado à conta de uma pessoa que usava o pseudônimo Xuxo Rondinaire. Essa pessoa é suspeita de ser integrante da polícia catalã (Mossos d'Esquadra) e de ter fornecido informações internas ao movimento Democratic Tsunami.

  • Com base no e-mail de recuperação recebido do Proton Mail, as autoridades espanholas solicitaram informações adicionais à Apple e conseguiram identificar essa pessoa. Este é um caso que mostra a interação complexa entre empresas de tecnologia, privacidade dos usuários e órgãos de aplicação da lei.

  • A resposta do Proton Mail a este pedido está vinculada à legislação suíça, que o obriga a cooperar com exigências legais internacionais formalizadas pelos canais adequados (o sistema judicial suíço). Somente em 2022, o Proton Mail atendeu a 5.971 solicitações de dados.

A importância do OPSEC

  • Esta situação relembra a importância de manter um OPSEC (segurança operacional) rigoroso. É preciso reconhecer que a vinculação com informações de recuperação ou com serviços secundários com menor nível de proteção de privacidade, como uma conta Apple, pode se tornar uma vulnerabilidade potencial.

  • Usuários preocupados com privacidade, especialmente os envolvidos em atividades sensíveis ou políticas, devem colocar o OPSEC em primeiro lugar ao usar ferramentas de privacidade.

  • Recomenda-se evitar o uso de e-mails de recuperação ou números de telefone que possam ser ligados diretamente à identidade pessoal ou a atividades principais, considerar o uso de e-mails descartáveis ou números virtuais que ofereçam anonimato, usar VPN para ocultar o endereço IP e empregar meios de pagamento anônimos.

A posição do Proton

  • O Proton confirmou os principais pontos deste caso e afirmou que o fato de os dados obtidos junto à Apple terem sido usados para identificar um suspeito de terrorismo mostra que a empresa mantém apenas o mínimo de informações dos usuários.

  • O Proton oferece privacidade por padrão, mas não anonimato. O anonimato exige esforço do próprio usuário para manter um OPSEC adequado, como não adicionar uma conta Apple como meio opcional de recuperação.

  • O Proton não exige obrigatoriamente a adição de um e-mail de recuperação. Isso porque, em teoria, ele pode ser fornecido mediante ordem judicial suíça. Terrorismo também é ilegal na Suíça.

Opinião do GN⁺

  • Este caso mostra claramente como é difícil equilibrar privacidade do usuário e aplicação da lei. Pode ser visto como um exemplo dos limites dos serviços de comunicação criptografados sob a justificativa de segurança nacional.

  • Do ponto de vista do Proton Mail, não há como escapar das obrigações impostas pela lei suíça, mas, se isso continuar se repetindo, a empresa poderá perder a confiança dos usuários. O próprio fato de defender uma política rígida de não manter logs e, ao mesmo tempo, atender a milhares de solicitações de dados por ano pode parecer contraditório.

  • Usuários envolvidos em atividades sensíveis precisam aproveitar casos como este para revisar seu nível de OPSEC. É importante não esquecer que, por mais seguro que um serviço seja, sempre existe o risco de exposição da identidade por meio de vínculos secundários, como um e-mail de recuperação.

  • Por outro lado, as autoridades policiais também precisam refletir se não estão exigindo informações de usuários de forma excessiva sob o pretexto de combate ao terrorismo. Uma postura que não distingue protestos democráticos de terrorismo pode ser um atalho para uma sociedade de vigilância.

  • Reconhecer os limites da privacidade oferecida por governos e empresas e não negligenciar os esforços individuais de OPSEC talvez seja a melhor forma de proteger a privacidade. Para isso, vale recorrer a diferentes medidas, como VPN, pagamentos anônimos e uso de e-mails descartáveis.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-05-08
Comentário do Hacker News
  • Há uma discrepância entre a realidade da proteção ao cliente oferecida pelo ProtonMail e as expectativas dos leitores
    • Há limites para a proteção que uma empresa legalmente estabelecida pode oferecer
    • ProtonMail e Apple contestam intimações que consideram injustificadas, mas não têm a decisão final
    • Os usuários devem decidir com cuidado quais informações fornecer aos provedores de serviço
    • Vincular um número de telefone ou um e-mail de backup pode ser uma pista importante para identificar alguém
  • O ProtonMail é mencionado porque pedidos de informação da Apple foram usados para identificar a identidade real (nome verdadeiro, número de telefone etc.)
    • O endereço de e-mail foi uma pista, mas outras informações como endereço IP, cookie de anúncios do Google etc. também podem ser usadas para identificar alguém
  • É preciso ter cuidado com sites que defendem privacidade mas confundem privacidade com anonimato
    • A privacidade é suficiente para proteger do público, mas não do Estado
    • Se você está lutando contra o Estado ou em conflito com ele, privacidade simples não basta
    • Para obter anonimato, pode ser necessário sacrificar recursos ou conveniência
  • O ProtonMail forneceu o endereço de recuperação, enquanto a Apple forneceu informações como nome verdadeiro, endereço e número de telefone
  • Se um serviço de VPN estiver vinculado à forma de pagamento, isso apenas fornece mais uma pista para a polícia rastrear
    • O Mullvad parece ser a única VPN que oferece uma forma de pagamento que garante anonimato
  • O ponto principal é que, pela lei suíça, o ProtonMail é obrigado a coletar e fornecer informações de endereço IP
    • A menos que seja garantida por criptografia, uma promessa de privacidade não passa de um gesto vazio
    • Ninguém quer ir para a prisão para proteger a privacidade
  • É preciso considerar a Parallel Construction
    • Eles podem já ter tido as informações antes (interceptação legal do ISP etc.)
    • O fornecimento de informações por ProtonMail/Apple é ruim, mas talvez não seja a verdadeira fonte
  • O ProtonMail só fornece informações quando a lei suíça exige, e a legislação suíça de privacidade é bastante boa
    • É a política de privacidade mais rígida que uma empresa poderia desejar
    • O ProtonMail só pode fornecer endereço de e-mail, endereço IP etc., e não o conteúdo dos e-mails
  • Ao tentar criar uma conta do ProtonMail pelo Tor, é exigida verificação por número de telefone
    • Se você usar um IP sem proxy, pode pular isso
    • Eles querem saber a identidade do usuário e operam assim há muito tempo
    • É possível que tenha sido um honeypot desde muito tempo atrás
  • Esta não é a primeira vez que o ProtonMail fornece um e-mail de recuperação ao governo federal