Proton Mail, siber güvenlik kurumunun talebiyle gazeteci hesaplarını askıya aldı

 (theintercept.com)
4 puan yazan GN⁺ 2025-09-14 | 1 yorum | WhatsApp'ta paylaş
  • Proton Mail, Güney Kore hükümet sistemlerinin hacklenmesini araştıran gazeteci hesaplarını bir siber güvenlik kurumunun talebi üzerine geçici olarak askıya aldı
  • Gazeteciler, hesaplar geri açıldıktan sonra da Proton'un askıya alma karar süreci ve dayanağı hakkında net bir açıklama talep etti
  • Dünyadaki çok sayıda medya kuruluşu Gmail alternatifi olarak Proton Mail kullanıyor; bu olay da gizlilik ve güvenilirlik konusunda endişe yarattı
  • Proton, harici bir kurumun bildirimi üzerine hesaplara işlem uyguladığını kabul etti ancak tam olarak hangi kurum olduğunu ya da gerekçeyi açıklamadı
  • Bu olay, gazeteciler, ihbarcılar ve güvenlik araştırmacıları gibi kırılgan kullanıcılar için koruma politikalarının güçlendirilmesi gereğine işaret ediyor

Proton Mail, siber güvenlik kurumunun talebiyle gazeteci hesaplarını askıya alma olayı

Proton'un kimliği ve gazeteci hesaplarının askıya alınması

  • Proton, "kişisel verileri koruyan tarafsız ve güvenli bir alan, özgürlüğü savunmaya adanmış" bir e-posta hizmeti olarak kendini konumlandırıyor
  • Geçen ay, bir siber güvenlik kurumunun talebi üzerine Güney Kore devlet bilgisayar sistemlerinin hacklenmesini araştıran iki gazetecinin Proton Mail hesabı devre dışı bırakıldı
  • Kamuoyundan gelen tepki ve uzun bir sürenin ardından hesaplar geri açıldı ancak gazeteciler ve editörler Proton'un hesabı askıya alma karar süreci hakkında net bir açıklama talep ediyor

Gazetecilerin korunması ve olayın etkileri

  • Freedom of the Press Foundation'dan Martin Shelton, çok sayıda medya kuruluşunun Proton Mail'i Gmail ve benzeri hizmetlere alternatif olarak seçtiğine ve bunun tam da bu tür durumların önüne geçmek için yapıldığına dikkat çekti
  • Gazetecilerin Proton hizmetlerini kullanırken, askıya alma gibi hassas konularda önceliğin özel iletişim olması gerektiği yönünde görüşler dile getirildi
  • Reddit'te Proton'un resmi hesabı, bu olayın "abartıldığını" söyleyerek gazeteci hesaplarını kasıtlı olarak engellemediklerini savundu

Gazeteci hesaplarının askıya alınmasının arka planı

  • Hesapları devre dışı bırakılan gazeteciler, Phrack'in ağustos sayısında Güney Kore devlet kurumlarının hacklenmesiyle ilgili APT saldırıları (ileri düzey kalıcı tehditler) üzerine haber hazırlayan Saber ve cyb0rg idi
  • Bu kişiler, Kuzey Kore bağlantılı olduğu söylenen "Kimsuky" ile benzerlik gösteren hackleme faaliyetlerini izledi ve sorumlu açıklama (Responsible Disclosure) süreci kapsamında, zafiyet tespit edilen ilgili kurumlara ve güvenlik kuruluşlarına (Korea Internet and Security Agency, KrCERT/CC vb.) önceden bildirim yaptı
  • KrCERT, kendilerine teşekkür eden bir yanıt gönderdi

CERT ve siber güvenlik bildirim sistemi açıklaması

  • CERT (Computer Emergency Response Team), güvenlik olaylarına müdahalede uzmanlaşmış bir organizasyondur
  • CERT yapıları 70'ten fazla ülkede bulunur; kamu ya da özel sektör tarafından işletilir ve farklı alanlarda uzmanlaşır
  • ABD'de bunun öne çıkan örneklerinden biri Cybersecurity and Infrastructure Agency'dir

Hesap askıya alma süreci ve değerler tartışması

  • Phrack'in basılı sayısının yayımlanmasından yaklaşık bir hafta sonra, gazetecilerin zafiyet açıklaması için açtığı Proton Mail hesapları askıya alındı
  • Hesaplar, "politika ihlali ihtimali" gerekçesiyle askıya alındı; Proton Abuse Team ise hesaplar arasındaki bağlantılar ve "kötü niyetli kullanım" iddiasını gerekçe göstererek hesapların geri açılmasını reddetti
  • Phrack editörleri, hack verilerinin Proton hesapları üzerinden gidip gelmediğini ve bilgi kötüye kullanımı endişesinin yersiz olduğunu savunarak itiraz etti ancak yanıt alamadı

Kamuoyu ve toplumsal tartışma

  • Phrack'in X (eski adıyla Twitter) hesabında, Proton'un iletişimi ve etik standartlarını eleştiren paylaşımlar yayıldı ve 150 binden fazla görüntülenme aldı
  • Proton'un resmi hesabı, bir CERT bildirimine dayanarak birden fazla hesabı askıya aldıklarını, sonrasında ise her vakayı tek tek incelediklerini açıkladı
  • "Gazetecilerin yanındayız" derken, hesaba erişimin tamamen kapalı olması nedeniyle yanlış pozitifleri önlemede sınırları olduğunu da kabul etti
  • Hangi CERT'in bildirim yaptığını, yani ilgili kurumun adını açıklamadı

Hesapların geri açılması ve sonraki süreç

  • Proton'un kurucusu ve CEO'su Andy Yen, yalnızca hesapların geri açıldığını duyurdu; askıya alma ve geri açma kararlarının ayrıntılı nedeni ya da prosedürü hakkında ek açıklama yapmadı
  • Phrack tarafı, bu askıya alma nedeniyle "gazetecilerin diğer medya kuruluşlarıyla iş birliği yapamaz ve haberlerine yanıt veremez hale geldiğini, yani somut zarar oluştuğunu" belirtti
  • Ayrıca, bu olayın gelecekte ihbarcılar ya da gazeteciler gibi kırılgan gruplara nasıl bir mesaj verdiği konusunda güçlü endişelerini dile getirdi
  • "Proton, en azından ancak mahkeme kararı olduğunda ya da açık bir suç veya hizmet şartları ihlalinin kanıtlandığı durumlarda hesap askıya alma yoluna gitmelidir" talebi öne sürüldü

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-14
Hacker News görüşleri

  • X/Twitter'da ilgili meseleyi başından beri takip ediyorum; Phrack tarafının Proton'a birkaç kez özel yoldan ulaştığı halde görmezden gelinmiş olması bence gerçekten ciddi bir sorun. Proton ancak Phrack meseleyi kamuya açık şekilde gündeme getirip X/Twitter'da viral olduktan sonra geri dönüş yaptı ve hesabı geri açtı. Ondan önce bir yazar Proton'a doğrudan itiraz etmiş ama reddedilmişti ve olay X/Twitter'da büyüyene kadar hiçbir adım atılmadı. Yani Proton, CERT'ten bir şikayet gelir gelmez hesabı kapattı ama konu toplumsal tartışmaya dönüşmeden önce hiç umursamadı; bunu özellikle vurgulamak istiyorum.

    • Proton, gerçek bir kişi olduğunuza dair kanıt bile istemeden e-posta hesabı açıyor. Bunu gizlilik aracı olarak gerekli bulduğum için eleştirmiyorum. Ama sadece birkaç saniye içinde yüzlerce Proton adresini otomatik oluşturabildiğim kadar güvenliğin gevşek olması oldukça ürkütücüydü. CAPTCHA da o kadar basit ki script ile kolayca aşılabilir. Dünya çapındaki spam engelleme listelerine alınmamış olmasına şaşırıyorum. En azından spam önleme sistemini daha da güçlendirmeleri gerekiyor diye düşünüyorum. Böyle hassas konularda hızlı tepki veremiyorlarsa, tersine daha ihtiyatlı işletmeleri gerekir.

    • Biraz riskli bir iddia olacak ama bu olayda bir ABD siber güvenlik kurumunun devrede olduğunu düşünüyorum. Proton CEO'su mevcut ABD yönetimine açıkça çok destek veren bir görüntü sergiledi (Proton'un resmi Reddit hesabındaki silinmiş gönderiye bakın; ilgili haber burada). Somut kanıtım yok ama CEO'nun kamuya açık açıklamalarına bakınca Proton'un 21. yüzyılın Crypto AG'si olup olmadığını düşünmeden edemiyorum.

    • Reddit'teki hayranlar bu durumu tuhaf biçimde eğip bükerek mazur göstermeye ya da savunmaya çalışıyor, ama gerçekleri ikiye bölemezsiniz.

    • Yine de olumlu tarafından bakarsak, artık sosyal medya gücüyle sorun çözülebilen bir çağda yaşamamız ilginç.

    • Proton'un Reddit'teki resmi yanıtına göre Phrack'ın hukuk ekibine 8 kez ulaştığı iddiası doğru değil; gerçekte alınan e-posta sadece iki tane ve sonuncusu cumartesi günü hukuk ekibinin gelen kutusuna gönderilip 48 saat içinde yanıt istenmiş. Proton gibi büyük bir şirkette bunun pratikte zor bir beklenti olduğunu söylüyorlar. Ayrıca bunun müşteri desteğinin resmi kanalı yerine hukuk ekibinin gelen kutusuna gönderilmiş olduğunu da vurguluyorlar. Yanıtın aslı (bağlantı)

  • Bir şirketin gerçek değeri iletişim kurma becerisinde ortaya çıkar. Ancak toplumsal yankı büyüdüğünde iletişim kuruyorsa, bu şirket hakkında nasıl bir izlenim edinirsiniz? Cidden merak ettiğim bir şey var: e-posta hizmeti veren şirketler arasında Proton Mail gerçekten en iyi seçenek mi? Ben e-postamı kendim barındırıyorum ve bunu sürdürmeyi planlıyorum ama başkaları için bir e-posta hizmeti gerekse Proton Mail en makul seçenek mi öğrenmek isterim. Başkalarının görüşlerini merak ediyorum.

    • Deneyimim sınırlı ama buna hayır demek isterim. Fastmail, Runbox, Purelymail (1-2 kişilik geliştirici ekibi), Mailbox (müşteri desteği zayıf ama sistem kararlı; ben kullanıyorum), Migadu (sadece adını duydum), Tuta (kişisel olarak içime sinmiyor; Proton gibi IMAP/POP kapalı, Proton bunu biraz dolambaçlı yoldan sağlıyor), MXRoute da LET forumu gibi yerlerde iyi yorumlar alıyor. Zoho da yalnızca e-posta için kullanacaksanız fena değil ama zaten Zoho kullanacaksanız Google veya MSFT'den farkı çoğunlukla fiyat olur. Seçenek çok. Bu arada ben VPS üzerinde seedbox bile düzgün şekilde self-host edemiyorum, o yüzden e-postayı hiç denemiyorum.

    • 20 yıl boyunca self-host ettim ve sorunsuz kullandım ama güvenlik sorunları yüzünden bıraktım. Bir gün geri dönmek isterim. Soru: Böyle bir sunucuda güvenliği nasıl yönetiyorsunuz? Bende çok fazla yama oluyordu ve ilgisiz şeyler yüzünden sistem sık sık bozuluyordu; bazen bir iki gün boyunca e-posta çalışmıyordu.

    • Şirketin iletişim becerisini değerinin bir parçası sayma fikrine katılıyorum ama çoğu insan bunu umursamıyor gibi görünüyor. Bu, Claude'a ayda tonla para harcayıp yine de Anthropic'in destek ekibine bir türlü ulaşamayan kullanıcılar gibi. Tutanota da bir kez değerlendirilebilir.

    • Keşke e-posta self-hosting stack'inizi paylaşsanız; bu yazıyı görünce birden self-hosting'e merak sardım.

  • Proton'un Reddit'teki resmi yanıtı Ekibimiz, bazı hesapların hacker'lar tarafından kötüye kullanıldığına dair CERT'ten bir bildirim aldı ve bunun üzerine ToS ihlali nedeniyle birkaç hesabı devre dışı bırakmak zorunda kaldı. Hesap içeriklerini göremediğimiz zero-access mimarisi nedeniyle kötüye kullanım önleme sistemlerinin meşru faaliyetleri de etkileyebileceğinin farkındayız. Hesap kurtarma ihtimali olan vakaları tek tek inceledik ve 2 hesabı geri yükledik; açık ToS ihlali görülen hesaplar geri yüklenemez. Phrack'ın hukuk ekibiyle 8 kez iletişime geçtiği iddiası da doğru değil. Hukuk ekibinin e-posta adresine gerçekte yalnızca iki ileti geldi ve son e-posta 6 Eylül Cumartesi günü 48 saat içinde yanıt talebiyle gönderildi; büyük bir şirkette buna pratikte karşılık vermek zordur (ayrıca bu resmi müşteri destek kanalı da değildi). Bu konunun gereğinden fazla büyütüldüğünü ve uygun bir yanıt verme fırsatı bulamadığımızı düşünüyoruz. Anlayışınızı rica ederiz. — Proton Ekibi

    • Tam anlayamadığım bir nokta var: Politika ihlali olup olmadığını göremediğinizi söylüyorsanız, yalnızca CERT talebiyle hesabı askıya alma kararını nasıl verdiniz ve sonunda bu iki hesabı hangi ölçüte göre geri açtınız?

    • Bu yanıt beni daha da hayal kırıklığına uğrattı. CERT, yasal zorlayıcılığı olan bir kurum değil. Olayla ilgili hızlı ve dikkatli bir sonradan inceleme olmadan böyle bir adım atılması, Proton'un çekirdek müşteri kitlesi için son derece kaygı verici. Kullanıcı sayısı arttıkça rehavete kapılmak kolaylaşıyor ve bu tavır da bunun kötü bir örneği. Sosyal medyada mesele büyümeseydi bu hesaplara ne olacağını merak ediyorum.

  • Proton'un belli bir süre giriş yapılmayan hesapları sileceğini duyurmasından sonra onu listemde “kullanıcı öncelikli” e-posta platformları arasında 1. sıradan çıkardım. Bir e-posta/mesajlaşma/iletişim sağlayıcısı benim seçtiğim süre boyunca — 1 yıl, 2 yıl, 20 yıl — istikrarlı hizmet bağlantısı sunamıyorsa onu kullanmak için sebep görmüyorum. Ücretli hizmetse gizliliği koruyan ödeme yöntemlerini kabul etmesi gerekir ama o durumda bile hâlâ tereddüt ederim. Proton eskiden VPN, iş hizmetleri vb. ile ücretsiz hesapların maliyetini karşılayabildiği için güven veriyordu ama silme politikasını duyurmasıyla bu güveni kendi eliyle zedeledi diye düşünüyorum. Ortada mantıksız bir talep de yok; en azından depolama alanına göre farklılaştırılmış bir politika gibi daha gelişmiş bir yaklaşım gerekli. Mevcut yapıda, birkaç yılda bir kullanılan devlet hesabı e-postasını bile elde tutmak mümkün değil. Kurtarma e-postası eklerseniz belki bildirim gönderebilirler ama o zaman da bunun gizlilik odaklı e-posta hizmeti olmasının anlamı azalıyor. (Benzer şekilde Google Voice da düzenli kullanılmayan numaraları siliyor; 2FA için kullanılan numaralar da dahil. Hesapta $4 kredi olsa bile durum aynı.)

    • Silme süresinin belirsiz olduğu söylenmiş ama aslında 1 yıl (resmi açıklama).

    • Bu politika yalnızca ücretsiz hesaplar için geçerli; 12-24 ay boyunca giriş yapılmazsa silinebiliyor. Ücretli hizmetlerde nakit (banknot) posta havalesi de kabul ediyorlar. İlkeyi anlıyorum ama talep ediş biçimine bakınca biraz gerçek dışı beklentileri olan bir müşteri gibi görünüyor.

    • Birinciliği kimin devraldığını merak ettim.

    • Bende de birkaç Proton ücretsiz hesabı var; 4 yıldan fazla kullanmamış olsam da hiçbir sorun çıkmadan duruyorlar. Sırf bu yüzden Proton'a yüklenilmesini biraz abartılı buluyorum. Sanki bir tür toplu antipati oluşmuş gibi. Elbette kusursuz bir şirket değil ama ABD merkezli büyük teknoloji şirketlerinin e-posta hizmetleriyle kıyaslanınca gizlilik tarafı bambaşka bir seviyede. Keşke bu kadar tek taraflı olumsuz bakılmasa. Ayrıca “istikrarsız” denmesi de bana tuhaf geliyor; masaüstü ve mobilde ben hiç sorun yaşamadım.

    • Para ödemiyorsanız müşteri değilsinizdir, sadece bir iyilikten yararlanıyorsunuzdur. Her şeyi bedava beklememek lazım.

  • 2018'den beri Proton'a ücretli aboneydim ama hizmet çok hatalı ve istikrarsız olduğu için yakın zamanda aboneliğimi iptal ettim (kasımda bitiyor). Alternatif e-posta ve VPN sağlayıcısı önerisi olan var mı merak ediyorum. Fastmail ve mailbox.org hakkında iyi şeyler duydum (yakın zamanda mailbox olarak yeniden markalaşıp hizmeti de yenilediler). Ayrıca SimpleLogin ile oluşturduğum çok sayıdaki takma e-posta adresini yeni hizmete kolayca taşımanın bir yolu olup olmadığını da merak ediyorum; hepsini tek tek elle değiştirmek işkence olur.

    • Fastmail'de sorun yaşamadım. Arayüz biraz sınırlı ama teknik olarak kusursuz çalışıyor ve hızlı. Kesinti de neredeyse hiç olmuyor. Takvim, adres defteri ve üçüncü taraf entegrasyonları da iyi. Bireysel kullanım için fazlasıyla yeterli. Yakın zamanda offline destek de eklendi. VPN tarafında ise gizlilik sizin için önemliyse Estonya gibi bir yerde VPS ya da doğrudan evinize Wireguard kurup DDNS vb. ile tünel oluşturmak en iyisi.

    • 9 yıl önceki bir mesele yüzünden mailbox'a karşı hâlâ biraz güvensizim bağlantı

    • Fastmail ile Mullvad'ı birlikte kullanıyorum; ikisi de makul fiyatlı ve iyi çalışıyor. Kendi VPS'inizde barındırmayı denemek de tavsiye ederim.

    • Zoho'yu 4 yıldan uzun süredir ailemle birlikte kullanıyorum ve çok memnunum. Domain başına ücret almıyor, bu yüzden 12 domain kullanıyorum. Web ve mobil uygulamalarda bol ayar var, hizmet de hızlı ve istikrarlı. Arayüz de sık sık değişmediği için öngörülebilir ve rahat.

    • Posteo.de (özel domain desteklemiyor), mailbox.org, runbox.com, mailfence, migadu, cranemail gibi seçeneklere de bakmaya değer. Fastmail'den daha ucuzlar ve hepsi IMAP desteklediği için taşınmak ya da yedek almak da kolay.

  • Proton'un bu durumda ne yaparsa yapsın eleştiriden kaçmasının zor olduğunu düşünüyorum. “Mahkeme emri olmadan indirmeyiz” deseler medya bunu kötü niyetle “suçluların cirit attığı yer” diye çerçeveleyebilir.

    • Kaygı yüzünden daha kötü politikalar uygulamak doğru değil. Proton Mail zaten daha önce de bu tür eleştirileri defalarca aldı; o yüzden mantıklı politikaları tutarlı biçimde koruması daha iyi olur. Tıklama tuzağı medyanın etkisiyle anlamsız tavizler vermemeli.

    • Mevcut tutum bana daha çok sorumluluktan kaçış gibi geliyor. Zaten şu anda da işbirliği yapıyor ve zaman zaman medyada eleştiriliyor; söyledikleri gibi davransa da çok şey değişmez.

    • CERT taleplerinin çoğu anlamlıdır ve yerine getirilmeye değerdir ama hepsine otomatik uymak da, hepsini görmezden gelmek de yanlıştır. Özellikle itirazlar veya meşru güvenlik raporları söz konusuysa mutlaka manuel inceleme gerekir. Uçlara savrulmak yerine makul bir orta yol bulunmalı.

  • Proton'un Reddit'teki resmi yanıtının bağlantısı (orijinal), ayrıca ilk CERT teması hakkında daha ayrıntılı bilgi edinmek isterim.

  • Proton'un sessizliğinin ters teptiğini düşünüyorum. Güvenilir, güvenli ve kararlı bir hizmet imajı bu olayla birlikte zayıflamış gibi hissettiriyor.

    • Öte yandan Ladar Levison ile Lavabit'in yaklaşık 10 yıl önceki tutumuyla büyük güven kazandığını düşünüyorum. Bu arada Lavabit (site) şu anda yeni kayıtları durdurduğunu ve mevcut hizmeti iyileştirmeye odaklandığını söylüyor.

  • PSA: Proton, 1 yıl boyunca giriş yapılmayan hesapları “etkin olmayan” sayıp siliyor. Sadece e-posta almak ama göndermemek bile “kullanılmıyor” olarak değerlendiriliyor gibi ve ölçütler belirsiz. Bu yüzden iCloud hesap kurtarmamı yapamaz hale geldim. Hesaptan çıkış/taşıma süreci epey zaman alacak gibi görünüyor.

    • “Kullanılmıyor” ölçütünün belirsiz olduğu söylenmiş ama resmi politikaya göre yılda bir kez giriş yapmak hesabı korumaya yetiyor (politika bağlantısı).

    • Proton'un eskiden kullandığı o muğlak ödeme sistemi hâlâ var mı merak ediyorum. Kuponla yükselttikten sonra süre dolunca hesap otomatik olarak eksi bakiyeye düşüyor ve kilitleniyordu; açmak için ödeme yapmanız gerekiyordu. O deneyimden sonra Proton'u bıraktım.

    • Bu politikanın ücretli hesaplar için de geçerli olup olmadığını merak ediyorum. Örneğin 5 yıllık peşin ödeme yaptıysam ve 3 yıl ortadan kaybolduysam hesap yaşamaya devam eder mi?

  • E-posta ya da VPN şirketlerinin yasalara uymadığına inanmak gerçekten safça. Öyle olsaydı ödeme işleyicileri bile onlara hizmet vermezdi. Ayrıca barındırma şirketlerinin ya da üst ağ sağlayıcılarının hesabı veya şirketi doğrudan kapatma ihtimalini de hesaba katmak gerekir.

    • Peki tam olarak hangi yasaları kastettiğinizi merak ediyorum. Proton'un her aşamada hangi yasa nedeniyle bu adımları attığını bildiğinizi varsayarak mı bunu söylüyorsunuz, yoksa sadece içi boş bir laf mı etmek istiyorsunuz?