Proton Mail suspende contas de jornalistas a pedido de órgão de cibersegurança

 (theintercept.com)
4 pontos por GN⁺ 2025-09-14 | 1 comentários | Compartilhar no WhatsApp
  • O Proton Mail suspendeu temporariamente contas de jornalistas que investigavam a invasão de sistemas do governo sul-coreano, em atendimento a um pedido de um órgão de cibersegurança
  • Mesmo após a restauração das contas, os jornalistas exigem uma explicação clara sobre o processo de decisão da Proton para a suspensão e seus fundamentos
  • Muitos veículos de imprensa ao redor do mundo usam o Proton Mail como alternativa ao Gmail, e o caso levantou preocupações sobre privacidade e confiabilidade
  • A Proton reconheceu que tomou medidas contra as contas após uma denúncia de uma entidade externa, mas não revelou o nome exato da instituição nem a justificativa
  • O episódio sugere a necessidade de fortalecer políticas de proteção para usuários vulneráveis, como jornalistas, denunciantes e pesquisadores de segurança

Proton Mail suspende contas de jornalistas a pedido de órgão de cibersegurança

A identidade da Proton e a suspensão das contas de jornalistas

  • A Proton é um serviço de e-mail que se apresenta como um "espaço neutro e seguro para proteger dados pessoais, comprometido com a defesa da liberdade"
  • No mês passado, a pedido de um órgão de cibersegurança, as contas de Proton Mail de dois jornalistas que investigavam a invasão de sistemas de computadores do governo sul-coreano foram desativadas
  • Após forte reação pública e muito tempo depois, as contas foram restauradas, mas os jornalistas e os editores exigem uma explicação clara sobre o processo de decisão da Proton para suspender as contas

Proteção a jornalistas e o impacto deste caso

  • Martin Shelton, da Freedom of the Press Foundation, destacou que muitos veículos de imprensa escolhem o Proton Mail como alternativa ao Gmail e outros serviços, justamente para evitar situações como esta
  • Também foi levantada a opinião de que, quando jornalistas usam os serviços da Proton, em temas sensíveis como suspensão de contas, a comunicação privada deveria ter prioridade
  • No Reddit, a conta oficial da Proton afirmou que o caso foi "exagerado" e alegou que não bloqueou deliberadamente contas de jornalistas

O contexto da suspensão das contas de jornalistas

  • Os jornalistas cujas contas foram desativadas são Saber e cyb0rg, autores de uma reportagem publicada na edição de agosto da Phrack sobre ataques APT (ameaça persistente avançada) relacionados à invasão de órgãos do governo sul-coreano
  • Eles rastrearam ataques semelhantes aos atribuídos ao grupo norte-coreano "Kimsuky" e, seguindo o procedimento de Responsible Disclosure, notificaram previamente os órgãos e entidades de segurança relevantes onde as vulnerabilidades foram encontradas, como a Korea Internet and Security Agency e o KrCERT/CC
  • O KrCERT chegou a responder agradecendo a eles
Publicidade

Explicação sobre CERT e o sistema de denúncias em cibersegurança

  • CERT (Computer Emergency Response Team) é uma organização especializada em resposta a incidentes de segurança
  • Existem CERTs em mais de 70 países, operados por governos ou pela iniciativa privada, e especializados em diferentes áreas
  • Nos Estados Unidos, a Cybersecurity and Infrastructure Agency é um exemplo representativo

O processo de suspensão e a controvérsia sobre valores

  • Cerca de uma semana após o lançamento da edição impressa da Phrack, as contas de Proton Mail abertas pelos jornalistas para divulgar as vulnerabilidades foram suspensas
  • As contas foram suspensas por "possível violação de política", e a equipe de abuso da Proton respondeu recusando a restauração com base na conexão entre contas e em "uso malicioso"
  • Os editores da Phrack contestaram, afirmando que dados de invasão nunca passaram por contas da Proton, enfatizando que o temor de uso indevido das informações era desnecessário, mas não receberam resposta

Repercussão pública e controvérsia social

  • Uma publicação crítica na conta da Phrack no X (antigo Twitter), questionando a comunicação da Proton e seus padrões morais, se espalhou e registrou mais de 150 mil visualizações
  • A conta oficial da Proton explicou que suspendeu várias contas com base em uma denúncia de um CERT e que depois passou a revisar cada caso individualmente
  • Embora tenha afirmado que "está ao lado dos jornalistas", reconheceu que havia limitações para evitar falsos positivos, já que o próprio acesso às contas estava bloqueado
  • A empresa não revelou qual CERT fez a denúncia nem o nome específico da instituição

Restauração das contas e resposta posterior

  • Andy Yen, fundador e CEO da Proton, apenas informou que as contas haviam sido restauradas, sem oferecer explicações adicionais sobre os motivos ou o processo de suspensão e restauração
  • A Phrack afirmou que, por causa desta suspensão, os jornalistas sofreram danos reais, como ficar impossibilitados de colaborar com outros veículos e de responder à reportagem
  • Também expressou forte preocupação com a mensagem que este episódio deixa para grupos vulneráveis no futuro, como denunciantes e jornalistas
  • Foi defendido que a Proton deveria suspender contas apenas em casos com ordem judicial, crime evidente ou violação comprovada dos termos de serviço

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-14
Opiniões no Hacker News

  • Estou acompanhando esse caso de perto no X/Twitter, e acho realmente grave que, segundo o lado do Phrack, eles tentaram entrar em contato com a Proton em privado várias vezes e foram ignorados; a Proton só deu retorno e restaurou a conta depois que o Phrack levantou o problema publicamente e isso viralizou no X/Twitter. Antes disso, um autor chegou a apelar diretamente à Proton, mas teve o pedido negado, e nada foi feito até o caso virar assunto no X/Twitter. Ou seja, quero enfatizar que a Proton bloqueou a conta imediatamente só porque houve um apontamento do CERT, e simplesmente não se importou até a controvérsia ganhar repercussão pública.

    • A Proton permite abrir contas de e-mail sem sequer exigir prova de que existe uma pessoa real por trás. Não estou criticando isso, porque acho necessário como ferramenta de privacidade. Mas foi bem assustador perceber como a segurança é frouxa a ponto de eu conseguir criar automaticamente centenas de endereços Proton em poucos segundos. O captcha também é simples demais e pode ser facilmente vencido por script. É até surpreendente que eles ainda não tenham parado em listas globais de bloqueio de spam. No mínimo, sinto que precisam reforçar mais o sistema antispam. Se não conseguem responder rapidamente em casos sensíveis como este, então talvez o certo seja operar com mais cautela.

    • Arriscando uma opinião meio perigosa: acho que uma agência americana de cibersegurança esteve envolvida neste caso. O CEO da Proton demonstrou apoio muito forte ao atual governo dos EUA (veja a postagem apagada da conta oficial da Proton no Reddit e a matéria aqui). Não tenho prova concreta, mas só pelas falas públicas do CEO já dá vontade de imaginar se a Proton não seria uma espécie de Crypto AG do século 21.

    • Os fãs no Reddit ficam o tempo todo tentando distorcer a situação de forma estranha para justificar ou defender isso, mas não dá para dividir os fatos em dois.

    • Pelo lado positivo, é interessante ver que agora vivemos numa era em que o poder das redes sociais pode resolver problemas.

    • Pela resposta oficial da Proton no Reddit, não é verdade que o Phrack contatou o jurídico 8 vezes; eles dizem que receberam apenas dois e-mails, e que o último foi enviado para a caixa de entrada do jurídico num sábado pedindo resposta em 48 horas, algo que, segundo eles, é inviável para uma empresa grande como a Proton. Também apontam que a mensagem foi enviada para o inbox do jurídico, e não por um canal oficial de suporte ao cliente. Resposta original (link)

  • O valor real de uma empresa aparece na sua capacidade de comunicação. Se ela só se comunica quando a repercussão social fica grande, que impressão isso passa sobre a empresa? Tenho uma dúvida sincera: entre as empresas que oferecem serviço de e-mail, a Proton Mail é a melhor opção? Eu hospedo meu próprio e-mail e pretendo continuar assim, mas, se eu precisasse de um serviço de e-mail para outras pessoas, queria saber se a Proton Mail é a opção menos ruim. Gostaria de ouvir a opinião dos outros.

    • Minha experiência é limitada, mas eu tenderia a dizer que não. Fastmail, Runbox, Purelymail (desenvolvido por 1~2 pessoas), Mailbox (o suporte não é grande coisa, mas o sistema é estável; é o que eu uso), Migadu (só conheço de nome), Tuta (me passa uma sensação ruim; como a Proton, desativa IMAP/POP, embora a Proton permita de forma meio gambiarra), e MXRoute também têm boa reputação em fóruns como o LET. Zoho também é ok se você vai usar só e-mail, mas, se for usar Zoho, a diferença para Google ou MSFT acaba sendo basicamente o preço. Há bastante opção. Aliás, eu mal consigo fazer self-host direito até de seedbox em VPS, então nem tento hospedar e-mail por conta própria.

    • Fiz self-host por 20 anos sem problema nenhum, mas desisti por questões de segurança. Gostaria de voltar algum dia. Pergunta: como você administra a segurança num servidor desses? No meu caso havia tantos patches que o sistema quebrava com frequência por coisas sem relação direta, e às vezes o e-mail ficava fora por um ou dois dias.

    • Concordo com a visão de que a capacidade de comunicação faz parte do valor de uma empresa, mas muita gente parece não se importar com isso. É como o caso de quem gasta bastante por mês com Claude, mas simplesmente não consegue chegar ao suporte da Anthropic (Claude). Tutanota também pode valer uma olhada.

    • Seria ótimo se você compartilhasse logo a sua stack de self-host de e-mail; li isso e de repente fiquei interessado em self-hosting.

  • Resposta oficial da Proton no Reddit Nossa equipe recebeu um alerta do CERT sobre algumas contas que estavam sendo exploradas por hackers, e por isso desativamos várias contas por violação dos ToS. Como temos uma arquitetura de zero-access e não podemos ver o conteúdo das contas, reconhecemos que sistemas antiabuso podem afetar também atividades legítimas. Após revisar individualmente os casos com possibilidade de restauração, restauramos 2 contas; contas com violação clara dos ToS não podem ser restauradas. Também não é verdade a alegação de que o Phrack contatou o jurídico 8 vezes; recebemos apenas dois e-mails no endereço do jurídico, e o último foi enviado no sábado, 6 de setembro, pedindo resposta em 48 horas, algo difícil de atender de forma realista numa empresa grande (e não era um canal oficial de suporte ao cliente). Acreditamos que este assunto foi exagerado além da conta, e não tivemos oportunidade adequada de responder. Pedimos compreensão. — Equipe Proton

    • Tem uma parte que eu sinceramente não entendo: se eles dizem que não conseguem saber se houve violação de política, como decidiram suspender as contas só com base no pedido do CERT? E, no fim, com que critério restauraram justamente duas contas?

    • Essa resposta me decepciona ainda mais. CERT não é um órgão com poder legal coercitivo. Tomar esse tipo de medida sem uma análise posterior rápida e cuidadosa do caso é muito preocupante para o público principal da Proton. Quanto mais usuários uma empresa tem, mais fácil é relaxar a vigilância, e essa postura é um exemplo claro disso. Fico imaginando o que teria acontecido com essas contas se o caso não tivesse virado pauta nas redes sociais.

  • Depois que a Proton anunciou que apagaria contas sem login por um certo período, eu a removi do topo da minha lista de plataformas de e-mail “centradas no usuário”. Se um provedor de e-mail/mensagens/comunicação não consegue garantir conexão estável com o serviço por 1 ano, 2 anos, 20 anos ou pelo tempo que eu quiser, então não vejo motivo para usá-lo. E, se for um serviço pago, ele deveria aceitar meios de pagamento que preservem a privacidade; mesmo assim, eu ainda ficaria receoso. Antes, a Proton me passava confiança porque bancava a manutenção das contas gratuitas com VPN, serviços empresariais etc., mas o anúncio dessa política de exclusão foi, na minha visão, uma quebra dessa confiança causada por eles mesmos. Não acho que isso seja uma exigência irracional; no mínimo, deveriam aplicar políticas diferenciadas conforme o espaço de armazenamento, ou adotar uma abordagem mais evoluída. Do jeito atual, nem um e-mail de conta governamental que você usa uma vez a cada alguns anos pode ser mantido. Claro, daria para cadastrar um e-mail de recuperação e receber aviso, mas aí o sentido de um serviço de e-mail focado em privacidade se enfraquece. (Aliás, o Google Voice faz algo semelhante: se você não usa o número de forma contínua, ele é removido; isso vale até para números usados em 2FA, mesmo que a conta tenha US$ 4 de crédito.)

    • Foi dito que o período de exclusão era vago, mas na verdade é 1 ano (informação oficial).

    • A política vale apenas para contas gratuitas que não fizerem login por 12~24 meses. No caso do serviço pago, eles também aceitam envio de dinheiro em espécie pelo correio. Entendo o princípio, mas, pela forma como você está pedindo, você parece um cliente meio irrealista.

    • Fiquei curioso para saber quem tomou o lugar de número 1 na sua lista.

    • Eu também tenho várias contas gratuitas da Proton e elas continuam lá sem qualquer problema mesmo depois de mais de 4 anos sem uso. Sinto que o clima de crítica à Proton só por causa disso está um pouco exagerado. Parece até uma antipatia coletiva se espalhando. Claro que não é uma empresa perfeita, mas, em termos de privacidade, acho incomparável com serviços de e-mail de big tech americana. Eu só não gostaria que tudo fosse visto de forma tão negativa. E também vejo muita gente dizer que é “instável”, mas, no meu caso, tanto no desktop quanto no celular, nunca senti isso.

    • Se você não paga, então não é cliente; está só recebendo um favor. É melhor evitar essa expectativa excessiva de tudo grátis.

  • Sou assinante pago da Proton desde 2018, mas cancelei recentemente a assinatura (vence em novembro) porque o serviço tem bugs demais e é instável. Gostaria de recomendações de provedores alternativos de e-mail e VPN. Ouvi coisas boas sobre Fastmail e mailbox.org (que recentemente virou apenas mailbox e reformulou o serviço). Também queria saber se existe alguma forma prática de migrar para outro serviço os inúmeros endereços de e-mail virtuais que criei com o SimpleLogin; mudar um por um manualmente seria um pesadelo.

    • Não tive problema com Fastmail. A interface é um pouco limitada, mas tecnicamente funciona de forma impecável e é rápido. Quase não tem indisponibilidade. Calendário, contatos e integrações com terceiros também funcionam bem. Para uso pessoal, é mais que suficiente. Recentemente, eles até adicionaram suporte offline. Quanto a VPN, se você se preocupa com privacidade, o melhor é alugar um VPS em algum lugar como Estônia, ou montar você mesmo um túnel com Wireguard em casa, DDNS etc.

    • Ainda tenho um pé atrás com a mailbox por causa de um problema de 9 anos atrás que até hoje não foi resolvido link

    • Uso Fastmail junto com Mullvad; os dois têm preço razoável e funcionam bem. Também recomendo experimentar hospedar você mesmo em um VPS.

    • Uso Zoho com a família há mais de 4 anos e estou muito satisfeito. Não há cobrança por domínio, então uso 12 domínios. O serviço é rápido e estável, há muitas opções de configuração nos apps web e mobile, e a UI não muda toda hora, o que é conveniente porque a deixa previsível.

    • Posteo.de (não suporta domínio personalizado), mailbox.org, runbox.com, mailfence, migadu, cranemail e outros também valem considerar. São mais baratos que o Fastmail, e todos suportam IMAP, então mudar de serviço ou fazer backup é fácil.

  • Acho que, numa situação dessas, a Proton dificilmente conseguiria escapar de críticas qualquer que fosse a decisão. Se dissesse “não vamos derrubar sem ordem judicial”, a imprensa provavelmente tentaria enquadrá-la de forma maliciosa como “um lugar cheio de criminosos”.

    • Aplicar uma política pior por medo não é o certo. A Proton Mail já recebeu esse tipo de crítica várias vezes, então acho melhor manter de forma consistente uma política racional. Espero que eles não se deixem levar por imprensa caça-cliques e façam concessões sem sentido.

    • A posição atual me parece mais uma fuga de responsabilidade. De todo modo, eles já cooperam hoje e às vezes também recebem críticas da imprensa. Mesmo que colocassem em prática o que dizem, acho que não mudaria muita coisa.

    • A maioria dos pedidos de CERT é relevante e merece ser atendida, mas tanto obedecer cegamente quanto ignorar completamente são erros. Especialmente se houver recurso ou relatório legítimo de segurança envolvido, deveria haver revisão manual obrigatória. Em vez de escolhas extremas, é preciso encontrar um meio-termo razoável.

  • Link para a resposta oficial da Proton no Reddit (original), e eu gostaria de saber mais detalhes sobre o contato inicial do CERT.

  • Acho que o silêncio da Proton acabou jogando contra ela. A imagem de um serviço confiável, seguro e firme saiu enfraquecida nesse episódio.

    • Por outro lado, acho que Ladar Levison e o Lavabit ganharam muita confiança pela forma como lidaram com sua situação há mais de 10 anos. Aliás, o Lavabit (site) informa que atualmente suspendeu novos cadastros e está focado em melhorar o serviço existente.

  • PSA: a Proton considera “inativa” e apaga a conta se você não fizer login por 1 ano. Os critérios são pouco claros, a ponto de até uma conta que só recebe e-mail e não envia poder ser tratada como “não utilizada”. Por causa disso, fiquei impossibilitado de recuperar minha conta do iCloud. Vou gastar um bom tempo fazendo offboarding dessa conta.

    • Foi dito que o critério de “não utilizada” é pouco claro, mas, pela política oficial, basta fazer login uma vez por ano para manter a conta (link da política).

    • Fico curioso se a Proton ainda usa aquele sistema obscuro de cobrança de antigamente. Já passei pela experiência de fazer upgrade com cupom e, quando o período acabava, a conta entrava automaticamente em saldo negativo, ficava bloqueada, e eu só conseguia liberar depois de pagar. Depois disso, parei de usar Proton.

    • Gostaria de saber se essa política também vale para contas pagas. Por exemplo, se eu pagar 5 anos adiantado e depois sumir por 3 anos, a conta continua viva?

  • Achar que empresas de e-mail e VPN não seguem a lei é muita ingenuidade. Se não seguissem, nem processadores de pagamento as aprovariam. Além disso, também é preciso considerar a possibilidade de a empresa de hospedagem ou o provedor de rede upstream cortar a conta ou a empresa imediatamente.

    • Mas de que lei exatamente você está falando? Você está dizendo isso presumindo que sabe qual lei levou a Proton a agir dessa forma em cada etapa, ou é só um comentário vazio?