ProtonMail Ungkap Data Pengguna, Berujung Penangkapan di Spanyol

 (restoreprivacy.com)
1 poin oleh GN⁺ 2024-05-08 | 1 komentar | Bagikan ke WhatsApp

  • Terkait permintaan hukum dari otoritas Spanyol, ProtonMail mengungkapkan data anggota organisasi kemerdekaan Catalunya Democratic Tsunami. Akibatnya, anggota tersebut ditangkap.

  • ProtonMail adalah layanan email aman berbasis Swiss yang terkenal dengan enkripsi end-to-end dan kebijakan tanpa pencatatan log yang ketat. Pada 2021, layanan ini juga pernah mematuhi permintaan hukum terkait penangkapan seorang aktivis iklim di Prancis.

  • Inti dari kasus ini adalah ProtonMail memberikan alamat email pemulihan yang terhubung ke akun milik seseorang yang menggunakan nama samaran Xuxo Rondinaire kepada polisi Spanyol. Orang tersebut diduga merupakan anggota kepolisian Catalunya (Mossos d'Esquadra) yang membocorkan informasi internal kepada gerakan Democratic Tsunami.

  • Berdasarkan email pemulihan yang diterima dari ProtonMail, otoritas Spanyol meminta informasi tambahan kepada Apple dan dapat mengidentifikasi orang tersebut. Ini menunjukkan interaksi yang kompleks antara perusahaan teknologi, privasi pengguna, dan lembaga penegak hukum.

  • Tanggapan ProtonMail atas permintaan kali ini terikat oleh hukum Swiss, yang mewajibkan kerja sama terhadap tuntutan hukum internasional resmi yang diformalkan melalui jalur yang sesuai (sistem pengadilan Swiss). Pada 2022 saja, ProtonMail menanggapi 5.971 permintaan data.

Pentingnya OPSEC

  • Situasi ini mengingatkan akan pentingnya menjaga OPSEC (keamanan operasional) secara ketat. Perlu disadari bahwa informasi pemulihan atau keterhubungan dengan layanan sekunder yang tingkat perlindungan privasinya lebih rendah (seperti akun Apple) dapat menjadi titik lemah potensial.

  • Pengguna yang peduli pada privasi, terutama mereka yang terlibat dalam aktivitas sensitif atau politis, perlu menempatkan OPSEC sebagai prioritas utama saat menggunakan alat privasi.

  • Dianjurkan untuk menghindari penggunaan email pemulihan atau nomor telepon yang bisa langsung terhubung ke identitas pribadi atau aktivitas utama, mempertimbangkan penggunaan email sekali pakai atau nomor telepon virtual yang menawarkan anonimitas, menggunakan VPN untuk menyembunyikan alamat IP, serta memanfaatkan metode pembayaran anonim.

Sikap Proton

  • Proton mengonfirmasi poin-poin utama dalam kasus ini, dan menyatakan bahwa fakta bahwa data yang diperoleh dari Apple digunakan untuk mengidentifikasi tersangka teror menunjukkan bahwa Proton hanya menyimpan informasi pengguna seminimal mungkin.

  • Proton pada dasarnya menyediakan privasi, tetapi tidak menyediakan anonimitas. Anonimitas memerlukan upaya dari pengguna untuk menerapkan OPSEC yang tepat. Contohnya, tidak menambahkan akun Apple sebagai sarana pemulihan opsional.

  • Proton tidak mewajibkan pengguna menambahkan email pemulihan. Ini karena secara teori informasi tersebut dapat diberikan berdasarkan perintah pengadilan Swiss. Terorisme juga ilegal di Swiss.

Opini GN⁺

  • Kasus ini dengan jelas menunjukkan betapa sulitnya menyeimbangkan privasi pengguna dan penegakan hukum. Ini bisa dilihat sebagai contoh yang memperlihatkan batasan layanan komunikasi terenkripsi atas nama keamanan negara.

  • Dari sudut pandang ProtonMail, mereka tidak punya banyak pilihan selain tunduk pada hukum Swiss, tetapi jika hal seperti ini terus berulang, mereka bisa kehilangan kepercayaan pengguna. Fakta bahwa mereka mengusung kebijakan tanpa log yang ketat namun tetap menanggapi ribuan permintaan data setiap tahun bisa terlihat kontradiktif.

  • Pengguna yang terlibat dalam aktivitas sensitif perlu menjadikan insiden ini sebagai momentum untuk meninjau tingkat OPSEC mereka. Jangan lupakan bahwa sekuat apa pun sebuah layanan, identitas tetap bisa terekspos melalui penghubung sekunder seperti email pemulihan.

  • Di sisi lain, otoritas penegak hukum juga perlu bercermin apakah atas nama pencegahan teror mereka tidak menuntut penyediaan informasi pengguna secara berlebihan. Sikap yang tidak membedakan antara aktivitas protes demokratis dan terorisme bisa menjadi jalan pintas menuju masyarakat pengawasan.

  • Menyadari batas privasi yang diberikan oleh pemerintah dan perusahaan, serta tidak lalai dalam upaya OPSEC di tingkat pribadi, kemungkinan merupakan cara terbaik untuk menjaga privasi. Untuk itu, berbagai langkah seperti penggunaan VPN, pembayaran anonim, dan email sekali pakai bisa dimanfaatkan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-05-08
Opini Hacker News
  • Ada kesenjangan antara realitas perlindungan pelanggan ProtonMail dan ekspektasi para pembaca
    • Ada batasan pada perlindungan yang dapat diberikan oleh perusahaan yang beroperasi secara legal
    • ProtonMail dan Apple memang menggugat subpoena yang mereka anggap tidak sah, tetapi tidak memiliki keputusan akhir
    • Pengguna harus berhati-hati dalam memutuskan informasi apa yang akan diberikan kepada penyedia layanan
    • Menghubungkan nomor telepon atau alamat email cadangan dapat menjadi petunjuk besar untuk mengidentifikasi seseorang
  • ProtonMail disebut karena permintaan data Apple digunakan untuk mengidentifikasi identitas nyata (nama asli, nomor telepon, dll.)
    • Alamat email memang menjadi petunjuk, tetapi informasi lain seperti alamat IP dan cookie iklan Google juga dapat digunakan untuk identifikasi
  • Perlu waspada terhadap situs web yang mengklaim mengutamakan privasi tetapi mencampuradukkan privasi dan anonimitas
    • Privasi cukup untuk melindungi dari publik, tetapi tidak dapat melindungi dari negara
    • Jika berhadapan atau bermusuhan dengan negara, privasi semata tidak cukup
    • Untuk anonimitas, fungsi atau kenyamanan mungkin harus dikorbankan
  • ProtonMail memberikan alamat pemulihan, sementara Apple memberikan informasi seperti nama asli, alamat, dan nomor telepon
  • Jika layanan VPN terhubung dengan metode pembayaran, itu hanya memberi polisi satu petunjuk tambahan untuk pelacakan
    • Mullvad tampaknya satu-satunya VPN yang menawarkan metode pembayaran yang menjamin anonimitas
  • Intinya, menurut hukum Swiss, ProtonMail wajib mengumpulkan dan menyerahkan informasi alamat IP
    • Jaminan privasi hanyalah gestur kosong kecuali dijamin oleh enkripsi
    • Tidak ada yang mau masuk penjara demi melindungi privasi
  • Perlu mempertimbangkan Parallel Construction
    • Ada kemungkinan mereka sudah memiliki informasinya (misalnya lawful intercept oleh ISP)
    • Penyerahan data oleh ProtonMail/Apple memang buruk, tetapi mungkin bukan sumber sebenarnya
  • ProtonMail hanya menyerahkan informasi ketika diwajibkan oleh hukum Swiss, dan hukum privasi Swiss tergolong sangat baik
    • Ini adalah kebijakan privasi paling ketat yang bisa diharapkan dari sebuah perusahaan
    • ProtonMail hanya dapat menyerahkan alamat email, alamat IP, dan semacamnya, bukan isi email
  • Jika mencoba membuat akun ProtonMail lewat Tor, akan diminta verifikasi nomor telepon
    • Jika menggunakan IP non-proxy, langkah ini bisa dilewati
    • Mereka ingin mengetahui identitas pengguna dan sudah lama beroperasi seperti ini
    • Ada kemungkinan ini sudah menjadi honeypot sejak lama
  • Ini bukan pertama kalinya ProtonMail menyerahkan email pemulihan kepada pemerintah federal