ProtonMail, kullanıcı verilerini açıklayınca İspanya'da tutuklama geldi

 (restoreprivacy.com)
1 puan yazan GN⁺ 2024-05-08 | 1 yorum | WhatsApp'ta paylaş

  • İspanyol makamlarının yasal talebiyle bağlantılı olarak ProtonMail, Katalan bağımsızlık örgütü Democratic Tsunami üyesine ait verileri paylaştı. Bunun sonucunda ilgili üye tutuklandı.

  • ProtonMail, uçtan uca şifreleme ve katı no-log politikasıyla tanınan, İsviçre merkezli güvenli e-posta hizmetidir. Daha önce 2021'de de Fransa'daki bir iklim aktivistinin tutuklanmasıyla bağlantılı yasal bir talebe uymuştu.

  • Bu olayın odağında, ProtonMail'in Xuxo Rondinaire takma adını kullanan bir kişinin hesabına bağlı kurtarma e-posta adresini İspanyol polisine vermesi yer alıyor. Bu kişi, Katalan polisi Mossos d'Esquadra'nın bir üyesi olarak iç bilgileri Democratic Tsunami hareketine sağlamakla suçlanıyor.

  • İspanyol makamları, ProtonMail'den alınan kurtarma e-postasını temel alarak Apple'dan ek bilgi talep etti ve böylece ilgili kişiyi tespit edebildi. Bu durum, teknoloji şirketleri, kullanıcı gizliliği ve kolluk kuvvetleri arasındaki karmaşık etkileşimi gösteren bir örnek.

  • ProtonMail'in bu talebe verdiği yanıt, uygun kanal olan İsviçre mahkeme sistemi üzerinden resmileştirilen uluslararası yasal taleplere iş birliği yapmayı zorunlu kılan İsviçre hukukuna tabi. Yalnızca 2022 yılında ProtonMail, 5.971 veri talebine yanıt verdi.

OPSEC'in önemi

  • Bu durum, sıkı OPSEC (operasyonel güvenlik) sürdürmenin önemini hatırlatıyor. Kurtarma bilgileri ya da gizlilik koruma seviyesi daha düşük ikincil hizmetlerle (Apple hesabı gibi) bağlantı kurmanın potansiyel bir zafiyet olabileceğinin farkında olmak gerekiyor.

  • Gizlilik konusunda endişesi olan kullanıcılar, özellikle hassas veya siyasi faaliyetlerde bulunanlar, gizlilik araçlarını kullanırken OPSEC'i en öncelikli konu olarak görmeli.

  • Kişisel kimlik bilgileriyle ya da ana faaliyetlerle doğrudan ilişkilendirilebilecek kurtarma e-postaları veya telefon numaraları kullanmaktan kaçınmak, anonimlik sağlayan tek kullanımlık e-postaları ya da sanal telefon numaralarını değerlendirmek, IP adresini gizlemek için VPN kullanmak ve anonim ödeme yöntemlerinden yararlanmak öneriliyor.

Proton'un açıklaması

  • Proton, olayın ana unsurlarını doğruladı ve Apple'dan elde edilen verilerin bir terör şüphelisini tespit etmek için kullanılmış olmasının, Proton'un kullanıcılar hakkında yalnızca asgari düzeyde bilgi tuttuğunu gösterdiğini belirtti.

  • Proton, varsayılan olarak gizlilik sunduğunu ancak anonimlik sunmadığını söylüyor. Anonimlik, uygun OPSEC için kullanıcının çabasını gerektiriyor; örneğin Apple hesabını isteğe bağlı kurtarma yöntemi olarak eklememek gibi.

  • Proton, kurtarma e-postası eklemeyi zorunlu tutmuyor. Çünkü bu bilgi, İsviçre mahkemesi kararıyla teorik olarak paylaşılabilir. Terörizm İsviçre'de de yasa dışı.

GN⁺ görüşü

  • Bu olay, kullanıcı gizliliği ile kolluk faaliyetleri arasında denge kurmanın ne kadar zor olduğunu açıkça gösteriyor. Ulusal güvenlik gerekçesiyle şifreli iletişim hizmetlerinin sınırlarının ortaya çıktığı bir örnek olarak görülebilir.

  • ProtonMail açısından bakıldığında, İsviçre hukukuna tabi olmaktan kaçınması mümkün değil; ancak bu tür olaylar tekrarlandıkça kullanıcı güvenini kaybetmesi olası. Katı bir no-log politikası vurgularken her yıl binlerce veri talebine yanıt veriyor olması başlı başına çelişkili görünebilir.

  • Hassas faaliyetlere karışan kullanıcıların, bu olay vesilesiyle kendi OPSEC seviyelerini gözden geçirmesi gerekiyor. Güvenliği ne kadar güçlendirilmiş olursa olsun, kurtarma e-postası gibi ikincil bağlantılar üzerinden kimliğin açığa çıkma riski olduğu unutulmamalı.

  • Öte yandan kolluk kuvvetlerinin, terörle mücadele gerekçesiyle kullanıcı bilgilerinin aşırı ölçüde talep edilip edilmediğini de sorgulaması gerekiyor. Demokratik protesto faaliyetleriyle terörü ayırt etmeyen bir yaklaşım, gözetim toplumuna giden kestirme bir yol olabilir.

  • Hükümetlerin ve şirketlerin sunduğu gizliliğin sınırlarını kabul etmek ve bireysel düzeyde OPSEC çabasını ihmal etmemek, gizliliği korumanın en iyi yolu olabilir. Bunun için VPN, anonim ödeme ve tek kullanımlık e-posta gibi çeşitli yöntemlerden yararlanılabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-05-08
Hacker News yorumu
  • ProtonMail’in müşterileri koruma gerçekliği ile okuyucuların beklentileri arasında bir uçurum var
    • Yasal bir şirketin sağlayabileceği korumanın sınırları vardır
    • ProtonMail ve Apple, meşru olmadığını düşündükleri celplere itiraz eder, ancak son karar yetkisi onlarda değildir
    • Kullanıcılar, hizmet sağlayıcıya hangi bilgileri vereceklerine dikkatle karar vermelidir
    • Telefon numarası veya yedek e-posta adresi bağlamak, kimlik tespiti için büyük bir ipucu olabilir
  • ProtonMail, gerçek kimlik tespiti için Apple’ın bilgi talebinin kullanılması nedeniyle anılıyor
    • E-posta adresi bir ipucuydu, ancak IP adresi, Google reklam çerezleri gibi başka bilgiler de kimlik tespitinde kullanılabilir
  • Gizliliği savunan web sitelerinin gizlilik ile anonimliği karıştırmasına karşı dikkatli olunmalı
    • Gizlilik, kamudan korunmak için yeterlidir ama devletten korunmayı sağlamaz
    • Devletle mücadele ediyor veya ona karşı duruyorsanız, yalnızca gizlilik yeterli değildir
    • Anonimlik için özelliklerden ya da kullanım kolaylığından ödün vermek gerekebilir
  • ProtonMail kurtarma adresini, Apple ise gerçek ad, adres, telefon numarası gibi bilgileri sağladı
  • Bir VPN hizmeti ödeme yöntemiyle bağlantılıysa, bu yalnızca polise takip için bir ipucu daha vermek anlamına gelir
    • Mullvad, anonimliği garanti eden ödeme yöntemleri sunan tek VPN gibi görünüyor
  • Asıl nokta, İsviçre yasalarına göre ProtonMail’in IP adresi bilgilerini toplamak ve teslim etmek zorunda olması
    • Şifrelemeyle garanti altına alınmadığı sürece gizlilik vaatleri boş bir jestten ibarettir
    • Hiç kimse gizliliği korumak için hapse girmek istemez
  • Parallel Construction dikkate alınmalı
    • Bilgilere zaten sahip olmuş olabilirler (ISP yasal dinlemesi vb.)
    • ProtonMail/Apple’ın bilgi vermesi kötü olsa da, gerçek kaynak bu olmayabilir
  • ProtonMail yalnızca İsviçre yasaları gerektirdiğinde bilgi verir ve İsviçre gizlilik yasaları oldukça iyidir
    • Bu, bir şirketin umabileceği en katı gizlilik politikasıdır
    • ProtonMail, e-posta içeriğini değil yalnızca e-posta adresi, IP adresi gibi bilgileri sağlayabilir
  • Tor ile ProtonMail hesabı oluşturmaya çalışırsanız telefon numarası doğrulaması istiyor
    • Proxy olmayan bir IP kullanırsanız bunu atlar
    • Kullanıcının kimliğini bilmek istiyorlar ve uzun süredir bu şekilde çalışıyorlar
    • Uzun zamandır bir honeypot olmuş olma ihtimali var
  • Bu, ProtonMail’in kurtarma e-postasını federal hükümete verdiği ilk vaka değil