ProtonMail tiết lộ dữ liệu người dùng, dẫn đến vụ bắt giữ tại Tây Ban Nha

 (restoreprivacy.com)
1 điểm bởi GN⁺ 2024-05-08 | 1 bình luận | Chia sẻ qua WhatsApp

  • Liên quan đến yêu cầu pháp lý từ phía nhà chức trách Tây Ban Nha, ProtonMail đã tiết lộ dữ liệu của một thành viên thuộc tổ chức ủng hộ độc lập Catalonia Democratic Tsunami. Hệ quả là người này đã bị bắt giữ.

  • ProtonMail là dịch vụ email bảo mật có trụ sở tại Thụy Sĩ, nổi tiếng với mã hóa đầu cuối và chính sách không lưu log nghiêm ngặt. Năm 2021, dịch vụ này cũng từng đáp ứng một yêu cầu pháp lý liên quan đến vụ bắt giữ một nhà hoạt động khí hậu tại Pháp.

  • Trọng tâm của vụ việc lần này là ProtonMail đã cung cấp cho cảnh sát Tây Ban Nha địa chỉ email khôi phục được liên kết với tài khoản của một cá nhân sử dụng bí danh Xuxo Rondinaire. Người này bị nghi là thành viên của lực lượng cảnh sát Catalonia (Mossos d'Esquadra) và đã cung cấp thông tin nội bộ cho phong trào Democratic Tsunami.

  • Từ email khôi phục nhận được từ ProtonMail, giới chức Tây Ban Nha đã yêu cầu thêm thông tin từ Apple và qua đó có thể xác định danh tính cá nhân nói trên. Đây là một ví dụ cho thấy sự tương tác phức tạp giữa các công ty công nghệ, quyền riêng tư người dùng và cơ quan thực thi pháp luật.

  • Việc ProtonMail đáp ứng yêu cầu lần này chịu ràng buộc bởi luật Thụy Sĩ, vốn buộc công ty phải hợp tác với các yêu cầu pháp lý quốc tế đã được chính thức hóa thông qua đúng quy trình, cụ thể là hệ thống tòa án Thụy Sĩ. Chỉ riêng trong năm 2022, ProtonMail đã phản hồi 5.971 yêu cầu dữ liệu.

Tầm quan trọng của OPSEC

  • Tình huống này nhắc lại tầm quan trọng của việc duy trì OPSEC (bảo mật tác nghiệp) nghiêm ngặt. Cần nhận thức rằng việc liên kết với thông tin khôi phục hoặc các dịch vụ thứ cấp có mức bảo vệ quyền riêng tư thấp hơn, như tài khoản Apple, có thể trở thành điểm yếu tiềm tàng.

  • Những người dùng quan tâm đến quyền riêng tư, đặc biệt là những người tham gia vào các hoạt động nhạy cảm hoặc mang tính chính trị, cần đặt OPSEC lên ưu tiên hàng đầu khi sử dụng các công cụ bảo vệ quyền riêng tư.

  • Nên tránh dùng email khôi phục hoặc số điện thoại có thể liên kết trực tiếp với danh tính cá nhân hay công việc chính; cân nhắc dùng email dùng một lần hoặc số điện thoại ảo có tính ẩn danh; sử dụng VPN để che giấu địa chỉ IP; và tận dụng các phương thức thanh toán ẩn danh.

Lập trường của Proton

  • Proton xác nhận các chi tiết chính của vụ việc này và cho biết việc dữ liệu lấy từ Apple đã được dùng để nhận diện một nghi phạm khủng bố cho thấy Proton chỉ nắm giữ lượng thông tin người dùng tối thiểu.

  • Proton mặc định cung cấp quyền riêng tư, nhưng không cung cấp tính ẩn danh. Tính ẩn danh đòi hỏi người dùng phải tự nỗ lực để duy trì OPSEC phù hợp, ví dụ như không thêm tài khoản Apple làm phương thức khôi phục tùy chọn.

  • Proton không bắt buộc người dùng phải thêm email khôi phục. Lý do là thông tin này về mặt lý thuyết có thể bị cung cấp theo lệnh của tòa án Thụy Sĩ. Khủng bố cũng là hành vi bất hợp pháp tại Thụy Sĩ.

Ý kiến của GN⁺

  • Vụ việc này cho thấy rõ việc cân bằng giữa quyền riêng tư của người dùng và thực thi pháp luật khó khăn đến mức nào. Có thể xem đây là một trường hợp phơi bày giới hạn của các dịch vụ liên lạc mã hóa dưới danh nghĩa an ninh quốc gia.

  • Ở góc độ ProtonMail, công ty buộc phải chịu ràng buộc bởi luật Thụy Sĩ, nhưng nếu chuyện này lặp lại, họ sẽ mất niềm tin của người dùng. Việc vừa quảng bá chính sách không lưu log nghiêm ngặt, vừa phản hồi hàng nghìn yêu cầu dữ liệu mỗi năm tự nó có thể bị xem là mâu thuẫn.

  • Những người dùng tham gia các hoạt động nhạy cảm nên xem đây là dịp để rà soát mức độ OPSEC của mình. Dù dịch vụ có được tăng cường bảo mật đến đâu, vẫn không nên quên rằng danh tính có thể bị lộ thông qua các mắt xích thứ cấp như email khôi phục.

  • Mặt khác, các cơ quan thực thi pháp luật cũng cần tự nhìn lại xem liệu họ có đang yêu cầu cung cấp thông tin người dùng một cách quá mức dưới danh nghĩa chống khủng bố hay không. Thái độ không phân biệt giữa hoạt động biểu tình dân chủ và khủng bố có thể là con đường tắt dẫn tới một xã hội giám sát.

  • Nhận thức rõ giới hạn của quyền riêng tư do chính phủ và doanh nghiệp cung cấp, đồng thời không lơ là các nỗ lực OPSEC ở cấp độ cá nhân, có lẽ là cách tốt nhất để bảo vệ quyền riêng tư. Để làm được điều đó, có thể áp dụng nhiều biện pháp như VPN, thanh toán ẩn danh và email dùng một lần.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-05-08
Ý kiến trên Hacker News
  • Có khoảng cách giữa thực tế bảo vệ khách hàng của ProtonMail và kỳ vọng của độc giả
    • Có những giới hạn đối với mức độ bảo vệ mà một doanh nghiệp hợp pháp có thể cung cấp
    • ProtonMail và Apple phản đối các trát đòi mà họ cho là không chính đáng, nhưng không có quyền quyết định cuối cùng
    • Người dùng nên cân nhắc kỹ việc cung cấp thông tin nào cho nhà cung cấp dịch vụ
    • Việc liên kết số điện thoại hoặc địa chỉ email dự phòng có thể trở thành manh mối lớn để xác định danh tính
  • ProtonMail được nhắc đến vì yêu cầu thông tin của Apple đã được dùng để xác định danh tính thực tế (tên thật, số điện thoại, v.v.)
    • Địa chỉ email là một manh mối, nhưng địa chỉ IP, cookie quảng cáo của Google và các thông tin khác cũng có thể được dùng để xác định danh tính
  • Cần cảnh giác với các website tự nhận đề cao quyền riêng tư nhưng lại nhầm lẫn giữa quyền riêng tư và tính ẩn danh
    • Quyền riêng tư đủ để bảo vệ khỏi công chúng, nhưng không thể bảo vệ khỏi nhà nước
    • Nếu đối đầu hoặc ở thế thù địch với nhà nước, chỉ quyền riêng tư thôi là không đủ
    • Để có tính ẩn danh, có thể phải hy sinh tính năng hoặc sự tiện lợi
  • ProtonMail cung cấp địa chỉ khôi phục, còn Apple cung cấp các thông tin như tên thật, địa chỉ, số điện thoại
  • Nếu dịch vụ VPN gắn với phương thức thanh toán, thì đó chỉ là thêm một đầu mối để cảnh sát lần theo
    • Mullvad có vẻ là VPN duy nhất cung cấp phương thức thanh toán bảo đảm tính ẩn danh
  • Điểm cốt lõi là theo luật Thụy Sĩ, ProtonMail buộc phải thu thập và cung cấp thông tin địa chỉ IP
    • Nếu không được bảo đảm bằng mã hóa, thì các cam kết về quyền riêng tư chỉ là cử chỉ rỗng tuếch
    • Không ai muốn vào tù để bảo vệ quyền riêng tư
  • Cần cân nhắc khả năng Parallel Construction
    • Có thể họ đã có sẵn thông tin rồi (ví dụ như nghe lén hợp pháp từ ISP)
    • Việc ProtonMail/Apple cung cấp thông tin là điều không tốt, nhưng có thể không phải là nguồn thực sự
  • ProtonMail chỉ cung cấp thông tin khi luật Thụy Sĩ yêu cầu, và luật riêng tư của Thụy Sĩ là khá xuất sắc
    • Đây là chính sách quyền riêng tư nghiêm ngặt nhất mà một công ty có thể mong muốn
    • ProtonMail chỉ có thể cung cấp địa chỉ email, địa chỉ IP và các thông tin tương tự, chứ không phải nội dung email
  • Khi cố tạo tài khoản ProtonMail qua Tor, hệ thống yêu cầu xác minh số điện thoại
    • Nếu dùng IP không qua proxy thì có thể bỏ qua bước này
    • Họ muốn biết danh tính người dùng và đã vận hành theo cách này từ lâu
    • Có khả năng từ lâu đây đã là một honeypot
  • Đây không phải lần đầu ProtonMail cung cấp email khôi phục cho chính phủ liên bang