O ProtonMail, serviço de e-mail criptografado com sede na Suíça, forneceu à Europol, a pedido da Justiça suíça, os endereço de IP usados pelo grupo ativista francês Youth for Climate para acessar o serviço. Não se sabe, de fonte oficial ou fidedigna, quais atividades do grupo desencadearam o pedido. Relatos desencontrados em redes sociais alegam que o grupo estava invadindo propriedades em Paris.
Nas redes, outros usuários do ProtonMail estão reclamando de uma possível quebra de confiança. O problema estaria em uma frase, no site oficial do serviço, que diz que “por padrão, não mantemos relatórios de IPs que possam ser conectados à sua conta de e-mail anônima”. A política de privacidade, porém, prevê a possibilidade de cessão de dados se requisitados pelas autoridades suíças.
Andy Yen, fundador e CEO do ProtonMail, explicou no Twitter que, “pela lei, o ProtonMail precisa colaborar com investigações criminais suíças”, que a coleta do IP dos usuários “obviamente não é feita por padrão, mas apenas quando legalmente exigida”, e que apesar do histórico de resistência a ordens do tipo por parte do ProtonMail, neste caso não havia alternativas para recorrer da decisão, proferida pelo Departamento de Justiça Federal da Suíça.
Ainda segundo Andy, desde 2015 o ProtonMail publica relatórios anuais de transparência e em 2020 a empresa contestou mais de 700 pedidos de quebra de sigilo dos seus usuários. Via @tenacioustek/Twitter (em inglês), r/ProtonMail (em inglês).
Só pra complementar:
https://www.theregister.com/2021/09/07/protonmail_hands_user_ip_address_police/
https://protonmail.com/blog/climate-activist-arrest/
E o quanto deveríamos nos preocupar quanto a isso? É uma pergunta séria, não estou me opondo ao aqui apresentado, quero saber para talvez migrar de serviço, não queria, já fazem alguns anos que uso o protonmail e ter que migrar nessa altura do campeonato é um tiro no pé, mas nada que alguns meses migrando aos poucos não resolva.
Cara, acho que não há necessidade de preocupação. Abaixo, o Daniel e o Mario comentaram o mesmo que eu havia entendido da matéria. Eu não ficaria preocupado nem nada disso.
Entendi, vou dar uma lida sobre o assunto mas, já é um alivio.
Mas, aproveitando a deixa, caso fosse indicado trocar, quais seriam as indicações?
gimigliano,
a depender do que faça, não há “pra onde correr”, porque terá que confiar em alguém (algum provedor) em algum nível.
Os pontos a considerar são a questão de anonimato vs. privacidade. Entendo o PM como bastante privado, não conheço serviço que seja realmente privado. Habitualmente deixam-se rastros.
Vale pensar que eles cometiam crimes (tem toda uma questão de quem define o que são crimes, o que é considerado legal ou não, mas eles estavam em desacordo com as regras do país em que praticaram os fatos E em desacordo com as regras do país que hospedava o serviço). Questões morais deixadas de lado para fins acadêmicos, não é lá muito inteligente fazer isso, principalmente quando você tem várias outras formas de se comunicar, que deixariam menos rastros (acho q se qualquer “agência de 3 letras” estiver na sua captura, não há muito o que fazer, rsrsrs). É possível também eleger outras jurisdições para hospedar seus dados, o que poderia postergar o êxito em encontrá-los (mas veja, é só minha opinião).
Precisa ter em mente que:
a. e-mail não é privado, nem anônimo, por natureza. É do protocolo;
b. manter-se anônimo é bem difícil, na internet, ainda mais;
c. serviços de e-mail reconhecido por serem “anônimos” também chamam mais atenção que a média (ex: PM/tutanota vs. Gmail/outlook) e se alguém for “te atar/atrás de você”, bem, vai começar por esses pontos onde é provável que você mantenha mais dados que busca esconder (PODE ser um honeypot)
Além disso, você tem a capacidade de auto-hospedar um serviço de e-mail; eu adoraria fazê-lo, mas confesso não ter competência para tanto :-)
Pra não deixar de responder as perguntas,
se busca privacidade no e-mail, tentaria Tutanota (q também entrega dados se for judicialmente acionado para tanto), fastmail, CTemple, starmail, mailbox, posteo ou disroot.
Cada um deles tem seus prós e contras :-)
Existe um acordo de cooperação entre França e Suíça. O grupo ativista (que, salvo engano, aparece até em listas da UNICEF) aparentemente estava invadindo imóveis em Paris. Por ser ilícito (esbulho/”squatting”) tanto pela lei francesa quanto suíça, o governo francês conseguiu requisitar assistência das autoridades suíças.
Após esse pedido, a autoridade suíça requereu judicialmente que o ProtonMail logasse as informações de IP da conta associada ao grupo. Esses logs não existiam, as informações só passaram a ser coletadas após a ordem.
O ProtonMail também opera via Hidden Service. Possui endereço na rede Tor, acessível sem necessidade de passar por um exit node.
É um caso bem complicado. Detalhe: os logs coletados foram após a decisão judicial, e antes disso o ProtonMail não tem nenhum dado sobre o email. As mensagens continuam criptografadas.
Sem culpar o ativista nem nada, mas ele deveria usar serviços para mascarar seu IP (não que isso fosse impeditivo para o governo rastrear ele, só ia demorar mais).
Daniel, essa era um dúvida que eu tinha.
Se os registros são após decisão judicial, penso que está “OK”, conforme a lei do país, naquele momento e, até onde se sabe, não é conhecida por abusos.