Geçen hafta Proton Mail’in İspanyol polisinin Katalan yanlısı bir protestocuyu tespit edip tutuklamasına yardım ettiği haberi, muhtemelen Avrupa ve ötesindeki aktivistlerin tüylerini ürpertmiş olacak.
Proton Mail, şifrelenmiş ve güvenli bir e-posta uygulamasıdır ve şirketin gizliliklerini koruma sözünün arkasında duran gazeteciler ve muhalifler arasında oldukça popülerdir. Ancak, terör soruşturmasının bir parçası olarak, İsviçre merkezli gizlilik firmasının, yasa gereği, Demokratik Tsunami aktivistine ait kişisel verileri Guardia Civil’e teslim etmesi gerekiyordu.
Bu ilk kez de olmuyor. 2021’deProton, Fransız bir iklim aktivistinin IP adresi ayrıntılarını Europol yetkilileriyle paylaştı.
Şaşırtıcı olmayan bir şekilde, endişeli yorumcular bu tür davranışları eleştirdiler ve uygulamayı tamamen terk etme zamanının gelip gelmediğini merak ettiler. Hatta bazıları Proton ürünlerinin tamamen kullanılmasına karşı uyarıda bulunuyor. Firma ayrıca TechRadar’ın en iyi VPN kılavuzunda yer alan Proton VPN’in yanı sıra diğer güvenlik araçlarını da sunuyor ve bunların hiçbiri bu olaylardan etkilenmedi.
Peki Proton Mail aktivistler için hâlâ güvenli bir seçim mi? Bu büyük ölçüde şunlara bağlı: Nasıl platformu kullanıyorsunuz. Yorum yapmak için Proton’la temasa geçtim ve yayınlanma sırasında bir yanıt bekliyorum; şu ana kadar bildiğimiz her şeyi burada bulabilirsiniz.
Yukarıda bahsettiğim gibi Proton Mail, gazeteciler, insan hakları savunucuları, protestocular ve çevrimiçi gözetimin hedefi olabilecek diğer kullanıcılar için başvurulacak e-posta sağlayıcılarından biridir. Bunun nedeni Proton Mail’in, kullanıcıların iletişimlerini şifreleyerek şirketin erişebileceği kişisel verileri en aza indirmeye çalışmasıdır.
Şifreleme, verileri okunamayacak bir forma dönüştürme işlemini ifade eder. Şirketin bir blog yazısında açıkladığı gibi, Proton Mail kullanıcıları arasında gönderilen e-postalar her zaman uçtan uca şifrelenir; bu, sistemin gönderenin cihazındaki verileri şifrelemek ve yalnızca hedeflenen alıcılara ulaştığında şifresini çözmek için kriptografik anahtarlar kullandığı anlamına gelir. TLS, e-postalarınızı aktarım sırasında şifrelerken, Proton sunucularında sakladığınız iletilere de sıfır erişim şifrelemesi uygulanır.
Bütün bunlar, örneğin Proton’un, gönderdiğiniz veya aldığınız e-postaların içeriğini şirketin kendisi erişemediği için paylaşamayacağı anlamına gelir. Bu aynı zamanda tüm kayıtlı mesajlarınız için de geçerlidir.
Sorun şu ki, ekibin hâlâ erişime sahip olması nedeniyle bu seviyedeki bir şifreleme bile tam anonimliği garanti edemez. bazı E-posta adresleri ve IP’ler de dahil olmak üzere meta veriler olarak bilinen tanımlanabilir bilgiler. Polis memurları bunu biliyor ve şirketleri bu bilgileri kendilerine vermeye zorlamaya alışkınlar.
Şimdi İspanya örneğine daha yakından bakalım. Mahkeme belgeleri olarak TechCrunch tarafından elde edildi Guardia Civil’in İsviçre polisi aracılığıyla İsviçre şifreli mesajlaşma platformu Wire’a ve Proton’a yasal talepler gönderdiği ortaya çıktı. Wire, şüphelinin kendi hizmetinde oturum açmak için kullandığı e-posta adresini paylaştı: Proton Mail.
Proton’un bu hesapla ilgili değerli de olsa tek bir bilgisi vardı: kurtarma e-postası olarak kullanılan bir iCloud e-posta adresi. Buradan itibaren Apple, İspanyol polisine Katalan yanlısı protestocunun kimliğinin başarılı bir şekilde tespit edilebilmesi için tüm ayrıntıları (yani tam adını, iki ev adresini ve bağlantılı bir Gmail hesabını) sağladı.
TechCrunch’a konuşan Proton sözcüsü Edward Shone şunları söyledi: “Proton’un kullanıcı bilgisi minimum düzeyde, bu durumda terör şüphelisini tanımlamak için kullanıldığı iddia edilen verilerin Apple’dan elde edildiği gerçeğinin de gösterdiği gibi.”
“Proton’un bir kurtarma adresine ihtiyacı yok ancak bu durumda terör zanlısı kendisi bir adres eklemiştir. Terör zanlısı isterse o adrese e-posta gönderebilmemiz gerektiğinden bu verileri şifreleyemiyoruz. Kurtarma sürecini başlatmak için.”
@ProtonPrivacy’den nefret eden ve abonelikleri iptal edin diyen herkes asıl noktayı tamamen kaçırıyor. Bu durum aslında Proton Mail’in ne kadar güçlü olduğunu kanıtlıyor, tam tersi değil. Europol, Proton’a bir mahkeme emri getirdi ve Proton’un sağlayabileceği en fazla şey, kullanıcının kurtarma e-postasıydı… pic.twitter.com/kuvTc0jqfe7 Mayıs 2024
Diğer yorumcular (yukarıdaki tweet’e bakınız) Proton’un konuyla ilgili savunmasını ele alarak hiçbir şirketin sizin adınıza hapse girmeye istekli olmadığını ancak “tüm şirketlerin Proton’un yaptığı gibi kullanıcılar hakkında sahip oldukları bilgileri sınırlaması gerektiğini” yinelediler.
Bu sırada, Eva Galperin’e göreDijital haklar savunuculuğu grubu Electronic Frontier Foundation’ın Direktörü, olayın “meta verilerin önemli olduğunu hatırlatan” bir olay olduğunu söyledi.
Kesin olan şey şu ki, bu, kolluk kuvvetleri devreye girdiğinde insanların anonimliğini tam olarak korumak için güvenli ve şifreli uygulamaların sınırlamalarına ışık tutan sayısız örnektir. Örneğin Proton’un şeffaflık raporuna göre şirket 2023 yılında yalnızca 6.378 yasal emir aldı. Ekip bunların 407’sine başarıyla itiraz etti ancak 5.971’ine uymak zorunda kaldı.
Daha da kötüsü, yasa koyucular kolluk kuvvetlerine daha fazla yetki vermeye çalıştıkça bu olaylar daha da yaygınlaşabilir. Örneğin İngiltere, 2024’te dijital gözetimi artırmayı amaçlayan ülkelerden biri.
Şifreli uygulamaları kullanmak yeterli değil
Proton’un davası, kolluk kuvvetlerinin yetkileri ve şirketlerin görevlerinden oluşan karmaşık ağı vurgularken, aynı zamanda basit bir gerçeği de yineliyor: Şifreli bir uygulama kullanmak, çevrimiçi ortamda gizli olmak için yeterli değildir.
Sanal bir özel ağın sizi koruyamayacağı çevrimiçi tehditler olduğundan, gizliliği ön planda tutan bir e-posta veya mesajlaşma hizmeti, tüm dijital izlerinizi özellikle yetkililerden gizleyemeyecektir.
Shone’un TechCrunch’a İspanya davası hakkında söylediği gibi: “Proton varsayılan olarak gizlilik sağlar, varsayılan olarak anonimlik sağlamaz çünkü anonimlik belirli kullanıcı eylemlerini gerektirir uygun olmasını sağlamak [operational security]Örneğin, Apple hesabınızı isteğe bağlı bir kurtarma yöntemi olarak eklememek gibi, ki bunun terör zanlısı olduğu iddia edilen kişi tarafından yapıldığı anlaşılıyor.”
Bu nedenle, eğer bir aktivist, gazeteci ya da devlet tarafından gözetlenme riski yüksek olan başka bir kullanıcıysanız, çevrimiçi anonimliğinizi artırmak için daha fazla adım atmanızı önemle tavsiye ederiz. Bunlar şunları içerir:
- Proton olayının bize öğrettiği gibi, Doğrudan gerçek kimliğinize geri dönebilecek kurtarma e-postalarını veya telefon numaralarını asla bağlamayın. Ekstra bir anonimlik katmanı için alternatif hesaplar oluşturmanızı veya bunun yerine kullanabileceğiniz telefon numaralarını kullanmanızı öneririz.
- Aynı zamanda tavsiye edilir kullanın güvenli VPN E-postanıza veya mesajlaşma uygulamanıza her eriştiğinizde hizmet. Güvenlik söz konusu olduğunda NordVPN ve Mullvad en önemli önerilerimdir.
- Proton, e-posta, VPN, Drive, Takvim ve şifre yöneticisini içeren eksiksiz bir gizlilik paketi sunarken, göz önünde bulundurmak isteyebilirsiniz her güvenlik yazılımı için farklı sağlayıcılar kullanmak bu araçlardaki faaliyetlerinizin bir şekilde birbirine bağlanmasını önlemek için.
- Birini tercih et anonim ödeme şekli sağlayıcıyla paylaşacağınız kişisel ayrıntıları daha da azaltmak için. Örneğin Proton Mail, Bitcoin’i ve hatta nakit parayı kabul ediyor.
- Son fakat en az değil, şunu düşünün VPN’nizle birlikte Tor tarayıcısını da kullanma Yüksek gözetim riski durumunda hizmet.
VPN hizmetlerini yasal eğlence amaçlı kullanımlar bağlamında test ediyor ve inceliyoruz. Örneğin:
1. Başka bir ülkeden bir hizmete erişim (ilgili hizmetin şart ve koşullarına tabidir).
2. Yurt dışındayken çevrimiçi güvenliğinizi korumak ve çevrimiçi gizliliğinizi güçlendirmek.
VPN hizmetlerinin yasadışı veya kötü niyetli kullanımını desteklemiyoruz veya göz yummuyoruz. Korsan içeriğin ücretli olarak kullanılması Future Publishing tarafından onaylanmaz veya onaylanmaz.