Proton Mail tạm đình chỉ tài khoản nhà báo theo yêu cầu từ cơ quan an ninh mạng

 (theintercept.com)
4 điểm bởi GN⁺ 2025-09-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • Proton Mail đã tạm thời đình chỉ tài khoản của các nhà báo đang đưa tin về vụ hack hệ thống chính phủ Hàn Quốc theo yêu cầu từ một cơ quan an ninh mạng
  • Sau khi tài khoản được khôi phục, các nhà báo vẫn yêu cầu Proton giải thích rõ ràng về quy trình và căn cứ của quyết định đình chỉ
  • Nhiều cơ quan báo chí trên thế giới sử dụng Proton Mail như một giải pháp thay thế Gmail, và sự việc này làm dấy lên lo ngại về quyền riêng tư và độ tin cậy
  • Proton thừa nhận đã xử lý tài khoản dựa trên báo cáo từ một tổ chức bên ngoài, nhưng không tiết lộ chính xác đó là cơ quan nào hay căn cứ cụ thể là gì
  • Sự việc này cho thấy cần tăng cường chính sách bảo vệ cho các nhóm người dùng dễ bị tổn thương như nhà báo, người thổi còi và nhà nghiên cứu bảo mật

Proton Mail tạm đình chỉ tài khoản nhà báo theo yêu cầu từ cơ quan an ninh mạng

Bản sắc của Proton và vụ đình chỉ tài khoản nhà báo

  • Proton là dịch vụ email tự giới thiệu mình là “một không gian trung lập và an toàn bảo vệ dữ liệu cá nhân, tận tâm gìn giữ tự do”
  • Tháng trước, theo yêu cầu từ một cơ quan an ninh mạng, hai tài khoản Proton Mail của các nhà báo đang đưa tin về vụ hack hệ thống máy tính của chính phủ Hàn Quốc đã bị vô hiệu hóa
  • Sau phản ứng dữ dội từ dư luận và một khoảng thời gian dài chờ đợi, các tài khoản đã được khôi phục, nhưng các nhà báo và ban biên tập vẫn yêu cầu Proton giải thích rõ về quy trình đưa ra quyết định đình chỉ tài khoản

Bảo vệ nhà báo và tác động của sự việc

  • Martin Shelton thuộc Freedom of the Press Foundation lưu ý rằng nhiều cơ quan báo chí chọn Proton Mail làm phương án thay thế cho Gmail và các dịch vụ tương tự, và họ dùng dịch vụ này chính để tránh những tình huống như lần này
  • Có ý kiến cho rằng khi nhà báo sử dụng dịch vụ Proton, những vấn đề nhạy cảm như biện pháp đình chỉ nên được ưu tiên trao đổi riêng tư
  • Trên Reddit, tài khoản chính thức của Proton cho rằng vụ việc này đã bị “thổi phồng”, đồng thời khẳng định họ không cố ý chặn tài khoản của nhà báo

Bối cảnh của vụ đình chỉ tài khoản nhà báo

  • Hai nhà báo có tài khoản bị vô hiệu hóa là Sabercyb0rg, những người đã viết bài điều tra trên số tháng 8 của Phrack về các cuộc tấn công APT (mối đe dọa dai dẳng nâng cao) liên quan đến việc xâm nhập các cơ quan chính phủ Hàn Quốc
  • Họ đã lần theo một chiến dịch hack tương tự “Kimsuky”, vốn được cho là do Triều Tiên thực hiện, và đã thông báo trước cho các cơ quan liên quan cùng các tổ chức an ninh như Korea Internet and Security Agency, KrCERT/CC theo quy trình công bố có trách nhiệm (Responsible Disclosure)
  • KrCERT đã gửi phản hồi bày tỏ sự cảm ơn tới họ
Quảng cáo

Giải thích về CERT và hệ thống báo cáo an ninh mạng

  • CERT (Computer Emergency Response Team) là tổ chức chuyên trách ứng phó sự cố an ninh
  • CERT hiện diện ở hơn 70 quốc gia, có thể do chính phủ hoặc khu vực tư nhân vận hành và thường chuyên biệt theo từng lĩnh vực
  • Tại Mỹ, Cybersecurity and Infrastructure Agency là ví dụ tiêu biểu

Quy trình đình chỉ tài khoản và tranh cãi về giá trị cốt lõi

  • Khoảng một tuần sau khi bản in của Phrack được phát hành, các tài khoản Proton Mail mà các nhà báo lập ra để công bố lỗ hổng đã bị đình chỉ
  • Tài khoản bị khóa với lý do “có khả năng vi phạm chính sách”, và Proton Abuse Team trả lời rằng họ từ chối khôi phục vì mối liên hệ giữa các tài khoản và dấu hiệu “sử dụng ác ý”
  • Ban biên tập Phrack phản bác rằng không hề có dữ liệu hack nào được gửi hay nhận qua các tài khoản Proton, nhấn mạnh rằng lo ngại về việc lạm dụng thông tin là không cần thiết, nhưng họ không nhận được phản hồi

Dư luận và tranh cãi xã hội

  • Trên tài khoản X (trước đây là Twitter) của Phrack, các bài đăng chỉ trích cách giao tiếp và tiêu chuẩn đạo đức của Proton đã lan truyền rộng rãi, thu hút hơn 150.000 lượt xem
  • Tài khoản chính thức của Proton giải thích rằng họ đã đình chỉ nhiều tài khoản dựa trên báo cáo từ CERT, và sau đó đang xem xét từng trường hợp riêng lẻ
  • Dù nói rằng mình “đứng về phía các nhà báo”, Proton cũng thừa nhận việc không thể truy cập chính các tài khoản đó khiến khả năng ngăn chặn nhầm lẫn có giới hạn
  • Proton không tiết lộ CERT nào đã gửi báo cáo, cũng không công khai tên cơ quan cụ thể

Khôi phục tài khoản và phản ứng sau đó

  • Andy Yen, nhà sáng lập kiêm CEO của Proton, chỉ thông báo rằng các tài khoản đã được khôi phục, nhưng không đưa ra giải thích thêm về lý do hay quy trình đình chỉ và khôi phục
  • Phía Phrack cho biết vụ đình chỉ tài khoản lần này đã gây ra thiệt hại thực tế, chẳng hạn nhà báo không thể phối hợp với các tòa soạn khác hoặc xử lý bài viết
  • Họ cũng bày tỏ lo ngại mạnh mẽ về thông điệp mà sự việc này gửi tới các nhóm dễ tổn thương như người thổi còi hoặc nhà báo trong tương lai
  • Đồng thời đưa ra yêu cầu rằng Proton chí ít chỉ nên đình chỉ tài khoản khi có lệnh của tòa án, có hành vi phạm tội rõ ràng, hoặc đã chứng minh được vi phạm điều khoản dịch vụ

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-14
Ý kiến trên Hacker News

  • Tôi đã theo dõi toàn bộ vụ việc này trên X/Twitter, và điều thực sự nghiêm trọng theo tôi là phía Phrack đã nhiều lần liên hệ riêng với Proton nhưng bị phớt lờ; Proton chỉ phản hồi và khôi phục tài khoản sau khi Phrack nêu vấn đề công khai và vụ việc lan truyền trên X/Twitter. Trước đó, một tác giả đã trực tiếp kháng nghị với Proton nhưng bị từ chối, và hoàn toàn không có động thái nào cho tới khi sự việc trở thành chủ đề nóng trên X/Twitter. Tôi muốn nhấn mạnh rằng Proton đã chặn tài khoản ngay lập tức chỉ vì CERT nêu vấn đề, nhưng lại hoàn toàn không quan tâm trước khi tranh cãi bùng lên trong xã hội.

    • Proton cho phép tạo tài khoản email mà thậm chí không yêu cầu bằng chứng đó là người thật. Tôi không có ý chỉ trích điểm này vì tôi nghĩ nó cần thiết đối với một công cụ bảo vệ quyền riêng tư. Nhưng việc bảo mật lỏng lẻo đến mức tôi có thể tự động tạo hàng trăm địa chỉ Proton Mail chỉ trong vài giây thật sự khá đáng sợ. Captcha cũng quá đơn giản nên script có thể vượt qua dễ dàng. Tôi còn ngạc nhiên là họ chưa bị đưa vào danh sách chặn spam trên toàn cầu. Ít nhất thì hệ thống chống spam cần được tăng cường hơn. Nếu họ không thể phản ứng nhanh với những vụ nhạy cảm như lần này, thì đúng ra nên vận hành cẩn trọng hơn.

    • Nói một điều hơi mạo hiểm thì tôi nghĩ cơ quan an ninh mạng của Mỹ có dính líu trong vụ này. CEO của Proton tỏ ra rất ủng hộ chính quyền hiện tại của Mỹ (xem bài đã bị xóa của tài khoản Reddit chính thức của Proton, bài liên quan ở đây). Không có bằng chứng cụ thể, nhưng chỉ nhìn vào các phát ngôn công khai của CEO cũng khiến tôi tưởng tượng rằng liệu Proton có phải là Crypto AG phiên bản thế kỷ 21 hay không.

    • Fan trên Reddit liên tục cố xoay chuyển tình huống này một cách kỳ lạ để bào chữa hay bênh vực, nhưng sự thật thì không thể bị tách làm hai phần.

    • Dù vậy, nhìn theo hướng tích cực thì cũng khá thú vị khi giờ đây ta đang sống trong thời đại mà sức mạnh mạng xã hội có thể giải quyết vấn đề.

    • Theo phản hồi chính thức của Proton trên Reddit, việc Phrack đã liên hệ đội pháp lý 8 lần là không đúng sự thật; thực tế họ chỉ nhận được hai email, và email cuối cùng được gửi vào hộp thư của đội pháp lý vào thứ Bảy với yêu cầu phản hồi trong vòng 48 giờ, điều mà họ cho là không thực tế với một công ty lớn như Proton. Họ cũng chỉ ra rằng email được gửi vào hộp thư pháp lý chứ không phải kênh hỗ trợ khách hàng chính thức. Phản hồi gốc (liên kết)

  • Giá trị thật sự của một công ty thể hiện ở khả năng giao tiếp. Nếu họ chỉ giao tiếp khi tác động xã hội trở nên lớn, thì điều đó khiến bạn có ấn tượng gì về công ty đó? Tôi thực sự tò mò: trong số các công ty cung cấp dịch vụ email, Proton Mail có phải là công ty ổn nhất không? Tôi tự host email và dự định sẽ tiếp tục như vậy, nhưng nếu cần một dịch vụ email cho người khác thì tôi muốn biết Proton Mail có phải lựa chọn tốt nhất hay không. Tôi muốn nghe ý kiến của mọi người.

    • Dù trải nghiệm của tôi còn hạn chế, tôi vẫn muốn trả lời là không. Fastmail, Runbox, Purelymail (do 1-2 người phát triển), Mailbox (hỗ trợ khách hàng không tốt lắm nhưng hệ thống ổn định, tôi đang dùng), Migadu (chỉ mới nghe tên), Tuta (cá nhân tôi thấy hơi ngại, giống Proton ở chỗ vô hiệu hóa IMAP/POP, Proton thì cho phép kiểu lách luật một chút), MXRoute cũng được đánh giá khá tốt trên diễn đàn LET, Zoho cũng ổn nếu chỉ dùng email, nhưng nếu đã dùng Zoho thì khác Google hay MSFT chủ yếu ở chi phí. Có rất nhiều lựa chọn. Tham khảo thêm là tôi còn không thể tự host nổi cả seedbox trên VPS cho tử tế, nên email thì tôi không dám thử luôn.

    • Tôi đã tự host 20 năm mà không gặp vấn đề gì, nhưng rồi bỏ cuộc vì các vấn đề bảo mật. Tôi muốn quay lại vào một ngày nào đó. Câu hỏi: tôi tò mò mọi người quản lý bảo mật trên những máy chủ đó như thế nào. Với tôi, có quá nhiều bản vá nên hệ thống thường xuyên gặp trục trặc vì những thứ không liên quan, và rất hay xảy ra chuyện mail ngừng hoạt động một hai ngày.

    • Tôi đồng ý với góc nhìn xem khả năng giao tiếp của doanh nghiệp là một giá trị, nhưng có vẻ nhiều người không quan tâm đến điều đó. Nó giống như trường hợp có người chi rất mạnh tay mỗi tháng cho Claude nhưng lại hoàn toàn không thể tiếp cận đội hỗ trợ của Anthropic (Claude). Tutanota cũng là một lựa chọn đáng cân nhắc.

    • Mong ai đó sớm chia sẻ stack tự host email, đọc bài này xong tự nhiên tôi hứng thú với self-hosting.

  • Phản hồi chính thức của Proton trên Reddit Đội ngũ của chúng tôi nhận được thông báo từ CERT rằng có một số tài khoản bị hacker lạm dụng, nên chúng tôi đã phải vô hiệu hóa nhiều tài khoản vì vi phạm ToS. Vì chúng tôi vận hành theo kiến trúc zero-access nên không thể xem nội dung tài khoản; chúng tôi nhận thức rằng hệ thống chống lạm dụng có thể ảnh hưởng cả tới hoạt động hợp pháp. Sau khi xem xét riêng từng trường hợp có khả năng khôi phục, chúng tôi đã khôi phục 2 tài khoản; các tài khoản có vi phạm ToS rõ ràng thì không thể khôi phục. Việc Phrack đã liên hệ đội pháp lý 8 lần cũng không đúng sự thật; thực tế chỉ có hai email được gửi tới email pháp lý, và email cuối cùng được gửi vào thứ Bảy ngày 6 tháng 9 với yêu cầu phản hồi trong vòng 48 giờ, điều này trên thực tế là khó đối với một công ty lớn (hơn nữa đó cũng không phải kênh hỗ trợ khách hàng chính thức). Chúng tôi cho rằng vụ việc này đã bị thổi phồng quá mức nên chúng tôi không có cơ hội đưa ra phản hồi phù hợp, mong được thông cảm. — Proton Team

    • Có một điểm tôi chưa hiểu rõ: nếu họ nói không thể biết có vi phạm chính sách hay không, vậy tại sao lại quyết định đình chỉ tài khoản chỉ theo yêu cầu của CERT, và cuối cùng hai tài khoản được khôi phục theo tiêu chí nào?

    • Câu trả lời này lại càng làm tôi thất vọng hơn. CERT là tổ chức không có quyền cưỡng chế pháp lý. Việc áp dụng biện pháp như vậy mà không có phân tích hậu kiểm nhanh chóng và chi tiết về vụ việc là điều rất đáng lo đối với nhóm khách hàng cốt lõi của Proton. Khi lượng người dùng tăng lên thì rất dễ mất cảnh giác, và đây chính là ví dụ sai điển hình. Tôi tự hỏi nếu không có làn sóng trên mạng xã hội thì những tài khoản đó sẽ ra sao.

  • Sau khi Proton công bố sẽ xóa các tài khoản không đăng nhập trong một khoảng thời gian nhất định, tôi đã loại họ khỏi vị trí số 1 trong danh sách nền tảng email “đặt người dùng lên hàng đầu” của mình. Nếu một nhà cung cấp email/nhắn tin/giao tiếp không thể đảm bảo kết nối dịch vụ ổn định trong khoảng thời gian tôi muốn — 1 năm, 2 năm hay 20 năm — thì không có lý do gì để dùng. Nếu là dịch vụ trả phí thì họ phải chấp nhận phương thức thanh toán bảo vệ quyền riêng tư, nhưng ngay cả vậy tôi vẫn thấy ngại. Trước đây Proton tạo được niềm tin vì họ dùng VPN, dịch vụ doanh nghiệp v.v. để bù chi phí duy trì tài khoản miễn phí, nhưng việc công bố chính sách xóa này theo tôi là tự tay phá vỡ niềm tin đó. Tôi không đưa ra yêu cầu vô lý; tối thiểu họ nên áp dụng chính sách phân biệt theo dung lượng lưu trữ hoặc một cách tiếp cận tiến bộ hơn. Với cấu trúc hiện tại, ngay cả email tài khoản chính phủ chỉ dùng vài năm một lần cũng không thể giữ lại. Nếu đăng ký email khôi phục thì có thể họ sẽ gửi cảnh báo, nhưng như vậy lại làm phai nhạt ý nghĩa của dịch vụ email bảo vệ quyền riêng tư. (Tham khảo thêm, Google Voice cũng tương tự: nếu không dùng thường xuyên thì số sẽ bị xóa. Số dùng cho 2FA cũng vậy, kể cả khi trong tài khoản vẫn còn $4 credit.)

    • Có nói thời hạn xóa không rõ ràng, nhưng thực ra là 1 năm (hướng dẫn chính thức).

    • Chính sách này chỉ áp dụng cho tài khoản miễn phí không đăng nhập trong 12-24 tháng. Với dịch vụ trả phí, họ còn hỗ trợ chuyển tiền mặt (tiền giấy) qua đường bưu điện. Tôi hiểu nguyên tắc đó, nhưng nhìn vào cách người này yêu cầu thì có vẻ giống một khách hàng hơi thiếu thực tế.

    • Tôi tò mò ai đã thay thế vị trí số 1 đó.

    • Tôi cũng có nhiều tài khoản Proton miễn phí, hơn 4 năm không dùng mà vẫn được giữ nguyên không vấn đề gì. Chỉ vì chuyện này mà bầu không khí chỉ trích Proton có vẻ hơi quá đà với tôi. Cảm giác như đang lan ra một làn sóng ác cảm tập thể. Dĩ nhiên đây không phải công ty hoàn hảo, nhưng về quyền riêng tư thì theo tôi không thể so với các dịch vụ email Big Tech của Mỹ. Mong mọi người đừng chỉ nhìn theo hướng tiêu cực. Và cũng có nhiều người nói họ “không ổn định”, nhưng tôi thì không gặp vấn đề gì cả trên cả desktop lẫn mobile.

    • Nếu không trả tiền thì bạn không phải khách hàng, bạn chỉ đang nhận được thiện chí. Không nên kỳ vọng quá nhiều vào đồ miễn phí.

  • Tôi là thuê bao Proton trả phí từ năm 2018, nhưng gần đây đã hủy vì dịch vụ quá nhiều lỗi và không ổn định (hết hạn vào tháng 11). Tôi muốn hỏi có ai gợi ý nhà cung cấp email, VPN thay thế không. Tôi nghe nhiều điều tốt về Fastmail và mailbox.org (gần đây họ rebrand thành mailbox và cũng cải tổ dịch vụ). Tôi cũng muốn biết có cách nào chuyển hàng loạt các địa chỉ email ảo đã tạo bằng SimpleLogin sang dịch vụ mới dễ dàng không, vì đổi thủ công từng cái thì quá cực.

    • Tôi dùng Fastmail không có vấn đề gì. UI có hơi hạn chế một chút nhưng về mặt kỹ thuật thì hoạt động hoàn hảo và nhanh. Gần như không có downtime. Lịch, danh bạ, tích hợp bên thứ ba cũng hoạt động tốt. Với người dùng cá nhân là quá đủ. Gần đây họ còn thêm hỗ trợ offline. Còn VPN thì nếu bạn quan tâm đến quyền riêng tư, tốt nhất là thuê VPS ở nơi như Estonia hoặc tự cài Wireguard ở nhà, dùng DDNS v.v. để dựng tunnel.

    • Tôi vẫn còn hơi mất niềm tin với mailbox vì một vụ từ 9 năm trước liên kết

    • Tôi đang dùng cùng lúc Fastmail và Mullvad, cả hai đều giá hợp lý và hoạt động tốt. Cũng khuyên nên thử tự host trên VPS.

    • Tôi dùng Zoho cùng gia đình hơn 4 năm nay và rất hài lòng. Không tính phí theo domain nên tôi đang dùng 12 domain. Ứng dụng web và mobile có nhiều tùy chọn cấu hình, dịch vụ nhanh và ổn định, UI cũng không thay đổi liên tục nên dễ đoán và tiện.

    • Posteo.de (không hỗ trợ domain tùy chỉnh), mailbox.org, runbox.com, mailfence, migadu, cranemail v.v. cũng đáng cân nhắc. Chúng đều rẻ hơn Fastmail và đều hỗ trợ IMAP nên việc chuyển đi hoặc sao lưu cũng dễ.

  • Tôi nghĩ trong tình huống này Proton làm thế nào cũng khó tránh bị chỉ trích. Nếu họ nói rằng sẽ không gỡ xuống nếu không có lệnh tòa, thì báo chí có thể ác ý đóng khung họ là “nơi đầy rẫy tội phạm”.

    • Áp dụng chính sách tệ hơn chỉ vì lo sợ là điều không đúng. Proton Mail vốn đã nhiều lần bị chỉ trích kiểu đó rồi, nên tốt hơn là kiên định với một chính sách hợp lý. Đừng để truyền thông câu click làm họ dao động và đi đến những thỏa hiệp vô nghĩa.

    • Theo tôi, lập trường hiện tại chỉ gần giống né tránh trách nhiệm. Đằng nào bây giờ họ vẫn đang hợp tác và đôi khi vẫn bị báo chí chỉ trích. Dù họ có làm đúng như họ nói thì cũng chẳng khác biệt mấy.

    • Phần lớn yêu cầu từ CERT đều có ý nghĩa và đáng để thực hiện, nhưng vừa phục tùng vô điều kiện vừa phớt lờ hoàn toàn đều sai. Đặc biệt nếu liên quan đến kháng nghị hoặc báo cáo bảo mật hợp pháp thì bắt buộc phải có khâu rà soát thủ công. Thay vì chọn cực đoan, cần tìm một điểm cân bằng hợp lý ở giữa.

  • Liên kết đến phản hồi chính thức của Proton trên Reddit (nguyên văn), và tôi muốn biết thêm thông tin chi tiết về liên hệ CERT ban đầu.

  • Tôi nghĩ sự im lặng của Proton lại phản tác dụng. Hình ảnh về một dịch vụ đáng tin cậy, an toàn và dứt khoát dường như đã yếu đi qua sự việc này.

    • Mặt khác, tôi cho rằng Ladar Levison và Lavabit đã giành được niềm tin lớn nhờ cách xử lý của họ hơn 10 năm trước. Tham khảo thêm, Lavabit (trang web) hiện cho biết họ đang tạm dừng đăng ký mới để tập trung cải thiện dịch vụ hiện có.

  • PSA: Proton sẽ coi tài khoản là “không hoạt động” và xóa nếu không đăng nhập trong 1 năm. Tiêu chí cũng không rõ ràng, ví dụ có vẻ như chỉ nhận email mà không gửi cũng bị xếp là “không sử dụng”. Vì chuyện đó mà tôi rơi vào tình huống không thể khôi phục tài khoản iCloud. Có lẽ tôi sẽ phải tốn khá nhiều thời gian để offboarding tài khoản.

    • Có nói tiêu chí “không sử dụng” là không rõ ràng, nhưng theo chính sách chính thức thì chỉ cần đăng nhập mỗi năm một lần là tài khoản sẽ được giữ (liên kết chính sách).

    • Tôi tò mò không biết Proton có còn dùng kiểu thanh toán thiếu minh bạch ngày xưa không. Tôi từng nâng cấp bằng coupon, rồi khi hết thời hạn thì tự động chuyển sang số dư âm khiến tài khoản bị khóa, và chỉ mở lại được khi thanh toán. Sau vụ đó tôi không dùng Proton nữa.

    • Tôi tò mò liệu chính sách này có áp dụng cho cả tài khoản trả phí không. Ví dụ nếu trả trước 5 năm rồi mất liên lạc trong 3 năm, tài khoản đó có còn sống không?

  • Tin rằng các công ty email, VPN không tuân thủ pháp luật là một suy nghĩ thật ngây thơ. Nếu không, ngay cả đơn vị xử lý thanh toán cũng đã không phê duyệt cho họ. Ngoài ra cũng phải tính đến khả năng công ty hosting hoặc nhà mạng upstream sẽ lập tức chặn tài khoản hay chặn cả công ty.

    • Nhưng cụ thể bạn đang nghĩ tới luật nào? Tôi muốn hỏi liệu bạn đang nói trên cơ sở biết Proton đã làm như vậy vì luật nào ở từng bước, hay chỉ là đang nói một câu vô nghĩa.