Proton Mail, szwajcarska firma oferująca bezpieczne usługi poczty elektronicznej z szyfrowaniem end-to-end, ponownie znalazła się pod ostrzałem za przekazanie danych użytkowników organom ścigania. Firma, której celem jest ochrona tożsamości swoich klientów, musi stawić czoła oskarżeniom o współpracę z hiszpańskimi władzami.
Niedawno Proton Mail dostarczył hiszpańskim służbom wystarczająco dużo informacji, aby zidentyfikować i aresztować członka katalońskiej organizacji niepodległościowej Democratic Tsunami. Firma twierdzi, iż została zmuszona do współpracy z organami ścigania na podstawie szwajcarskiego prawa. Ujawniono, iż sukces hiszpańskiej policji w zatrzymaniu tej osoby częściowo wynikał z braku odpowiedniej polityki bezpieczeństwa operacyjnego (OpSec) ze strony podejrzanego.
Proton Mail ma już takie zdarzenia „na sumieniu”
W osobnym incydencie z 2021 roku Proton Mail miał dostarczyć szwajcarskim władzom adres IP oraz szczegóły dotyczące sprzętu francuskiego aktywisty klimatycznego. Informacje te zostały następnie wykorzystane przez władze do jego aresztowania. Proton Mail wyjaśnił, iż chociaż treść e-maili jest zaszyfrowana, firma jest zobowiązana do spełniania prawnych żądań dostępu do danych przepływających przez jej serwery w przypadkach ścigania przestępstw.
W przypadku dotyczącym hiszpańskiej policji firmę zmuszono do dostarczenia adresu e-mail powiązanego z kontem Apple, używanego przez klienta znanego jako „Xuxo Rondinaire”. Klient ten był podejrzany o współpracę z katalońską Mossos d’Esquadra i wspieranie ruchu niepodległościowego w regionie.
Władze zażądały dodatkowych danych od Apple, co umożliwiło im identyfikację osoby kryjącej się za pseudonimem. Andy Yen, CEO Proton Mail, potwierdził, iż dane osobowe wykorzystane do aresztowania domniemanego „terrorysty” zostały dostarczone przez Apple, a nie przez Proton Mail. Yen podkreślił, iż Proton nie może odszyfrować danych, ale szwajcarskie sądy mogą nakazać udostępnienie adresów e-mail w przypadkach dotyczących terroryzmu.
W pisemnym oświadczeniu Proton AG wyjaśnia, iż ich usługa pocztowa przechowuje „minimalne informacje o użytkownikach” i nie gwarantuje pełnej anonimowości. Klienci poszukujący zwiększonego bezpieczeństwa powinni wdrożyć odpowiednie środki OpSec, takie jak unikanie używania prawdziwego konta Apple jako opcjonalnej metody odzyskiwania hasła. Chociaż adres ten nie jest wymagany do korzystania z Proton Mail, firma może być zmuszona do ujawnienia takich informacji na mocy szwajcarskiego nakazu sądowego.