ProtonMail coleta IP de usuário suspeito de atividades ilícitas na França e entrega às autoridades

O ProtonMail, serviço de e-mail criptografado com sede na Suíça, forneceu à Europol, a pedido da Justiça suíça, os endereço de IP usados pelo grupo ativista francês Youth for Climate para acessar o serviço. Não se sabe, de fonte oficial ou fidedigna, quais atividades do grupo desencadearam o pedido. Relatos desencontrados em redes sociais alegam que o grupo estava invadindo propriedades em Paris.

Nas redes, outros usuários do ProtonMail estão reclamando de uma possível quebra de confiança. O problema estaria em uma frase, no site oficial do serviço, que diz que “por padrão, não mantemos relatórios de IPs que possam ser conectados à sua conta de e-mail anônima”. A política de privacidade, porém, prevê a possibilidade de cessão de dados se requisitados pelas autoridades suíças.

Andy Yen, fundador e CEO do ProtonMail, explicou no Twitter que, “pela lei, o ProtonMail precisa colaborar com investigações criminais suíças”, que a coleta do IP dos usuários “obviamente não é feita por padrão, mas apenas quando legalmente exigida”, e que apesar do histórico de resistência a ordens do tipo por parte do ProtonMail, neste caso não havia alternativas para recorrer da decisão, proferida pelo Departamento de Justiça Federal da Suíça.

Ainda segundo Andy, desde 2015 o ProtonMail publica relatórios anuais de transparência e em 2020 a empresa contestou mais de 700 pedidos de quebra de sigilo dos seus usuários. Via @tenacioustek/Twitter (em inglês), r/ProtonMail (em inglês).

Deixe um comentário

Seu e-mail não será publicado. Dúvidas? Consulte a documentação dos comentários.

8 comentários

  1. E o quanto deveríamos nos preocupar quanto a isso? É uma pergunta séria, não estou me opondo ao aqui apresentado, quero saber para talvez migrar de serviço, não queria, já fazem alguns anos que uso o protonmail e ter que migrar nessa altura do campeonato é um tiro no pé, mas nada que alguns meses migrando aos poucos não resolva.

    1. Cara, acho que não há necessidade de preocupação. Abaixo, o Daniel e o Mario comentaram o mesmo que eu havia entendido da matéria. Eu não ficaria preocupado nem nada disso.

      1. Entendi, vou dar uma lida sobre o assunto mas, já é um alivio.

        Mas, aproveitando a deixa, caso fosse indicado trocar, quais seriam as indicações?

        1. gimigliano,
          a depender do que faça, não há “pra onde correr”, porque terá que confiar em alguém (algum provedor) em algum nível.
          Os pontos a considerar são a questão de anonimato vs. privacidade. Entendo o PM como bastante privado, não conheço serviço que seja realmente privado. Habitualmente deixam-se rastros.

          Vale pensar que eles cometiam crimes (tem toda uma questão de quem define o que são crimes, o que é considerado legal ou não, mas eles estavam em desacordo com as regras do país em que praticaram os fatos E em desacordo com as regras do país que hospedava o serviço). Questões morais deixadas de lado para fins acadêmicos, não é lá muito inteligente fazer isso, principalmente quando você tem várias outras formas de se comunicar, que deixariam menos rastros (acho q se qualquer “agência de 3 letras” estiver na sua captura, não há muito o que fazer, rsrsrs). É possível também eleger outras jurisdições para hospedar seus dados, o que poderia postergar o êxito em encontrá-los (mas veja, é só minha opinião).

          Precisa ter em mente que:
          a. e-mail não é privado, nem anônimo, por natureza. É do protocolo;
          b. manter-se anônimo é bem difícil, na internet, ainda mais;
          c. serviços de e-mail reconhecido por serem “anônimos” também chamam mais atenção que a média (ex: PM/tutanota vs. Gmail/outlook) e se alguém for “te atar/atrás de você”, bem, vai começar por esses pontos onde é provável que você mantenha mais dados que busca esconder (PODE ser um honeypot)

          Além disso, você tem a capacidade de auto-hospedar um serviço de e-mail; eu adoraria fazê-lo, mas confesso não ter competência para tanto :-)

          Pra não deixar de responder as perguntas,
          se busca privacidade no e-mail, tentaria Tutanota (q também entrega dados se for judicialmente acionado para tanto), fastmail, CTemple, starmail, mailbox, posteo ou disroot.
          Cada um deles tem seus prós e contras :-)

  2. Existe um acordo de cooperação entre França e Suíça. O grupo ativista (que, salvo engano, aparece até em listas da UNICEF) aparentemente estava invadindo imóveis em Paris. Por ser ilícito (esbulho/”squatting”) tanto pela lei francesa quanto suíça, o governo francês conseguiu requisitar assistência das autoridades suíças.

    Após esse pedido, a autoridade suíça requereu judicialmente que o ProtonMail logasse as informações de IP da conta associada ao grupo. Esses logs não existiam, as informações só passaram a ser coletadas após a ordem.

    O ProtonMail também opera via Hidden Service. Possui endereço na rede Tor, acessível sem necessidade de passar por um exit node.

  3. É um caso bem complicado. Detalhe: os logs coletados foram após a decisão judicial, e antes disso o ProtonMail não tem nenhum dado sobre o email. As mensagens continuam criptografadas.
    Sem culpar o ativista nem nada, mas ele deveria usar serviços para mascarar seu IP (não que isso fosse impeditivo para o governo rastrear ele, só ia demorar mais).

    1. Daniel, essa era um dúvida que eu tinha.
      Se os registros são após decisão judicial, penso que está “OK”, conforme a lei do país, naquele momento e, até onde se sabe, não é conhecida por abusos.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário