Proton Mail menangguhkan akun jurnalis atas permintaan lembaga keamanan siber

 (theintercept.com)
4 poin oleh GN⁺ 2025-09-14 | 1 komentar | Bagikan ke WhatsApp
  • Proton Mail untuk sementara menangguhkan akun jurnalis yang sedang meliput peretasan sistem pemerintah Korea Selatan, atas permintaan sebuah lembaga keamanan siber
  • Setelah akun dipulihkan, para jurnalis tetap menuntut penjelasan yang jelas tentang proses pengambilan keputusan Proton dan dasar penangguhan tersebut
  • Banyak media di seluruh dunia menggunakan Proton Mail sebagai alternatif Gmail, dan insiden ini memicu kekhawatiran soal privasi dan keandalan
  • Proton mengakui telah mengambil tindakan terhadap akun berdasarkan laporan dari lembaga eksternal, tetapi tidak mengungkap nama lembaga maupun dasar pastinya
  • Insiden ini menunjukkan perlunya penguatan kebijakan perlindungan bagi pengguna rentan seperti jurnalis, whistleblower, dan peneliti keamanan

Proton Mail menangguhkan akun jurnalis atas permintaan lembaga keamanan siber

Identitas Proton dan penangguhan akun jurnalis

  • Proton adalah layanan email yang mengusung misi sebagai "ruang netral dan aman yang melindungi data pribadi, serta berdedikasi menjaga kebebasan"
  • Bulan lalu, atas permintaan sebuah lembaga keamanan siber, akun Proton Mail milik dua jurnalis yang sedang meliput peretasan sistem komputer pemerintah Korea Selatan dinonaktifkan
  • Setelah muncul reaksi keras dari publik dan waktu yang lama berlalu, akun tersebut dipulihkan, tetapi para jurnalis dan editor tetap menuntut penjelasan yang jelas tentang proses keputusan Proton dalam menangguhkan akun

Perlindungan jurnalis dan dampak insiden ini

  • Martin Shelton dari Freedom of the Press Foundation menyoroti bahwa banyak organisasi media memilih Proton Mail sebagai alternatif untuk Gmail dan layanan sejenis, dan memakainya untuk menghindari situasi seperti ini
  • Muncul pandangan bahwa ketika jurnalis menggunakan layanan Proton, komunikasi privat seharusnya diprioritaskan untuk isu sensitif seperti tindakan penangguhan
  • Di Reddit, akun resmi Proton menyatakan bahwa persoalan ini "dibesar-besarkan" dan menegaskan bahwa mereka tidak sengaja memblokir akun jurnalis

Latar belakang penangguhan akun jurnalis

  • Jurnalis yang akunnya dinonaktifkan adalah Saber dan cyb0rg, penulis artikel investigasi tentang serangan APT (advanced persistent threat) terkait peretasan lembaga pemerintah Korea Selatan di edisi Agustus Phrack
  • Mereka melacak peretasan yang mirip dengan "Kimsuky", yang diketahui dikaitkan dengan Korea Utara, dan sesuai Responsible Disclosure, mereka memberi tahu lebih dulu lembaga terkait yang terdampak serta organisasi keamanan seperti Korea Internet and Security Agency dan KrCERT/CC
  • KrCERT membalas dengan pesan yang menyampaikan terima kasih kepada mereka

Penjelasan tentang CERT dan sistem pelaporan keamanan siber

  • CERT (Computer Emergency Response Team) adalah organisasi yang khusus menangani respons terhadap insiden keamanan
  • CERT ada di lebih dari 70 negara, dijalankan oleh pemerintah atau sektor swasta, dan memiliki spesialisasi di berbagai bidang
  • Di Amerika Serikat, Cybersecurity and Infrastructure Agency menjadi salah satu contoh utamanya

Proses penangguhan akun dan kontroversi nilai

  • Sekitar seminggu setelah edisi cetak Phrack terbit, akun Proton Mail yang dibuat para jurnalis untuk pengungkapan kerentanan ditangguhkan
  • Akun ditangguhkan dengan alasan "kemungkinan pelanggaran kebijakan", dan Proton Abuse Team menjawab bahwa pemulihan akun ditolak dengan alasan keterkaitan antar-akun serta "penggunaan berbahaya"
  • Tim editor Phrack membantah dengan menegaskan bahwa data hasil peretasan tidak pernah dikirim atau diterima melalui akun Proton, sehingga kekhawatiran penyalahgunaan informasi tidak berdasar, tetapi mereka tidak mendapat tanggapan

Opini publik dan kontroversi sosial

  • Di akun X milik Phrack, unggahan yang mengkritik komunikasi dan standar moral Proton menyebar luas dan mencatat lebih dari 150 ribu tayangan
  • Akun resmi Proton menjelaskan bahwa mereka menangguhkan banyak akun berdasarkan laporan dari CERT, dan setelah itu sedang meninjau masing-masing kasus secara terpisah
  • Sambil mengatakan bahwa mereka "berpihak pada jurnalis", Proton juga mengakui bahwa karena akses akun itu sendiri tidak tersedia, ada batasan dalam mencegah false positive
  • Mereka tidak mengungkap CERT mana yang membuat laporan maupun nama lembaganya secara spesifik

Pemulihan akun dan respons setelahnya

  • Andy Yen, pendiri sekaligus CEO Proton, hanya menyampaikan bahwa akun telah dipulihkan, tanpa memberikan penjelasan tambahan tentang alasan maupun prosedur penangguhan dan pemulihan
  • Pihak Phrack menjelaskan bahwa akibat penangguhan akun ini, "jurnalis menjadi tidak bisa berkolaborasi dengan media lain maupun menindaklanjuti artikel, sehingga menimbulkan kerugian nyata"
  • Mereka juga menyatakan kekhawatiran serius tentang pesan yang ditinggalkan insiden ini bagi kelompok rentan seperti whistleblower dan jurnalis di masa depan
  • Muncul tuntutan bahwa "Proton setidaknya semestinya hanya menangguhkan akun jika ada perintah pengadilan, kejahatan yang jelas, atau pelanggaran syarat layanan yang telah terbukti"

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-14
Komentar Hacker News

  • Saya terus mengikuti isu terkait di X/Twitter, dan menurut saya masalah yang sangat serius adalah bahwa pihak Phrack sudah beberapa kali menghubungi Proton secara privat tetapi diabaikan; Proton baru memberi tanggapan dan memulihkan akun setelah Phrack mengangkat isu ini secara publik dan menjadi viral di X/Twitter. Sebelumnya, ada seorang penulis yang mengajukan banding langsung ke Proton tetapi ditolak, dan tidak ada tindakan apa pun sampai kasus ini menjadi ramai di X/Twitter. Jadi saya ingin menekankan bahwa Proton langsung memblokir akun hanya karena ada keberatan dari CERT, tetapi sama sekali tidak peduli sebelum muncul kontroversi publik

    • Proton bahkan membuka akun email tanpa meminta bukti bahwa penggunanya adalah orang sungguhan. Saya tidak bermaksud mengecam hal itu karena menurut saya itu perlu untuk alat privasi, tetapi cukup menakutkan mengetahui betapa longgarnya keamanannya sampai-sampai saya bisa membuat ratusan alamat Proton Mail otomatis hanya dalam beberapa detik. Captcha-nya juga terlalu sederhana sehingga mudah ditembus dengan skrip. Sampai heran rasanya mereka belum masuk daftar blokir spam global. Setidaknya saya merasa sistem anti-spam mereka perlu diperkuat. Jika mereka tidak bisa merespons cepat untuk kasus sensitif seperti ini, justru lebih tepat kalau mereka beroperasi dengan lebih hati-hati

    • Sedikit spekulatif, tapi saya rasa ada keterlibatan lembaga keamanan siber AS dalam isu ini. CEO Proton terlihat sangat mendukung pemerintahan AS saat ini (lihat posting yang sudah dihapus dari akun Reddit resmi Peoton, artikel terkait di sini). Tidak ada bukti konkret, tetapi hanya dari pernyataan publik CEO saja sudah membuat saya membayangkan apakah Proton adalah Crypto AG versi abad ke-21

    • Para fans di Reddit terus-menerus mencoba memelintir situasi ini untuk memberi alasan atau membela mereka, tetapi fakta tidak bisa dibelah dua

    • Kalau dilihat dari sisi positif, menarik juga bahwa sekarang kita hidup di zaman ketika kekuatan media sosial bisa menyelesaikan masalah seperti ini

    • Melihat jawaban resmi Proton di Reddit, mereka mengatakan bahwa klaim Phrack menghubungi tim legal 8 kali itu tidak benar; email yang benar-benar diterima hanya dua, dan yang terakhir dikirim ke inbox tim legal pada hari Sabtu dengan permintaan jawaban dalam 48 jam, yang menurut mereka tidak realistis untuk perusahaan besar seperti Proton. Mereka juga menyoroti bahwa itu dikirim ke inbox tim legal, bukan melalui kanal resmi dukungan pelanggan. Tanggapan asli(tautan)

  • Nilai sejati perusahaan terlihat dari kemampuan komunikasinya. Jika mereka hanya berkomunikasi saat dampak sosialnya membesar, kesan apa yang timbul tentang perusahaan itu? Saya sungguh penasaran: di antara perusahaan penyedia layanan email, apakah Proton Mail memang yang paling layak? Saya meng-host email sendiri dan akan terus begitu, tetapi kalau saya perlu layanan email untuk orang lain, saya ingin tahu apakah Proton Mail yang paling masuk akal. Saya penasaran dengan pendapat orang lain

    • Pengalaman saya memang terbatas, tetapi saya ingin menjawab tidak. Ada Fastmail, Runbox, Purelymail (dikembangkan 1~2 orang), Mailbox (dukungan pelanggan kurang bagus tetapi sistemnya stabil, saya pakai ini), Migadu (hanya pernah dengar namanya), Tuta (secara pribadi terasa agak meragukan, seperti Proton menonaktifkan IMAP/POP, walau Proton mengizinkannya lewat sedikit akal-akalan), MXRoute juga punya reputasi cukup baik di forum LET dan sejenisnya. Zoho juga oke kalau hanya untuk email, tetapi kalau pada akhirnya pakai Zoho, bedanya dengan Google atau MSFT pada dasarnya hanya soal biaya. Pilihannya beragam Sebagai catatan, saya bahkan tidak bisa self-host seedbox di VPS dengan benar, jadi email sama sekali tidak berani saya coba

    • Saya self-host selama 20 tahun tanpa masalah, lalu menyerah karena isu keamanan. Suatu hari saya ingin kembali lagi Pertanyaan: saya penasaran bagaimana orang mengelola keamanan pada server seperti itu. Saya sering kena masalah sistem gara-gara banyak patch yang bahkan tidak relevan, dan cukup sering email mati satu atau dua hari

    • Saya setuju dengan pandangan bahwa kemampuan komunikasi perusahaan adalah nilai penting, tetapi tampaknya banyak orang tidak peduli akan hal itu. Mirip dengan orang yang menghabiskan banyak uang per bulan untuk Claude tetapi sama sekali tidak bisa menjangkau tim dukungan Antrhopic (Claude) Tutanota juga mungkin patut dipertimbangkan sekali

    • Semoga ada yang segera membagikan stack self-hosting email mereka, membaca ini tiba-tiba membuat saya tertarik pada self-hosting

  • Jawaban resmi Proton di Reddit Tim kami menerima pemberitahuan dari CERT bahwa ada beberapa akun yang disalahgunakan oleh peretas, sehingga kami menonaktifkan sejumlah akun karena pelanggaran ToS. Karena kami memiliki arsitektur zero-access yang tidak memungkinkan kami melihat isi akun, kami menyadari bahwa sistem anti-penyalahgunaan kami bisa berdampak juga pada aktivitas yang sah. Setelah meninjau secara individual kasus-kasus yang berpotensi dipulihkan, kami memulihkan 2 akun, dan akun yang jelas melanggar ToS tidak dapat dipulihkan Klaim bahwa Phrack menghubungi tim legal 8 kali juga tidak benar. Kami hanya menerima dua email ke alamat legal, dan email terakhir dikirim pada Sabtu, 6 September, dengan permintaan jawaban dalam 48 jam, yang secara realistis sulit dipenuhi perusahaan besar (dan itu juga bukan kanal resmi dukungan pelanggan) Kami merasa isu ini diperbesar secara berlebihan sehingga kami tidak mendapat kesempatan yang layak untuk memberi jawaban yang semestinya. Kami mohon pengertiannya — Tim Proton

    • Ada bagian yang tidak benar-benar saya pahami. Kalau mereka katanya tidak bisa mengetahui apakah ada pelanggaran kebijakan, bagaimana mereka bisa memutuskan menangguhkan akun hanya berdasarkan permintaan CERT, dan pada akhirnya dengan kriteria apa dua akun itu dipulihkan?

    • Jawaban ini justru lebih mengecewakan. CERT bukan lembaga dengan kekuatan hukum yang memaksa. Mengambil tindakan seperti ini tanpa analisis pasca-kejadian yang cepat dan teliti sangat mengkhawatirkan bagi pelanggan inti Proton. Makin banyak pengguna, makin mudah kewaspadaan melonggar, dan sikap seperti ini adalah contoh persis dari masalah itu. Saya jadi penasaran apa yang akan terjadi pada akun-akun tersebut jika isu ini tidak sempat menjadi ramai di media sosial

  • Setelah Proton mengumumkan bahwa mereka menghapus akun yang tidak login selama jangka waktu tertentu, saya mencoretnya dari posisi nomor 1 platform email “mengutamakan pengguna” dalam daftar saya. Jika penyedia email/pesan/komunikasi tidak bisa menjamin koneksi layanan yang stabil selama 1 tahun, 2 tahun, 20 tahun, atau selama yang saya mau, saya tidak melihat alasan untuk memakainya. Jika itu layanan berbayar, mereka seharusnya menerima metode pembayaran yang menjaga privasi, tetapi bahkan kalau pun iya, saya tetap enggan Dulu Proton memberi rasa percaya karena biaya pemeliharaan akun gratis ditopang lewat VPN, layanan bisnis, dan sebagainya, tetapi pengumuman kebijakan penghapusan itu menurut saya merusak kepercayaan itu dengan tangan mereka sendiri Saya rasa ini bukan tuntutan yang tidak masuk akal; setidaknya perlu pendekatan yang lebih maju, misalnya kebijakan berbeda berdasarkan kapasitas penyimpanan. Dengan struktur seperti sekarang, bahkan email akun pemerintah yang hanya dipakai sekali tiap beberapa tahun pun tidak bisa dipertahankan. Kalau email pemulihan didaftarkan, mungkin mereka bisa memberi notifikasi, tetapi itu justru mengurangi makna layanan email yang berfokus pada privasi (Sebagai referensi, Google Voice juga serupa, jika tidak terus dipakai mereka akan menghapus nomornya; nomor untuk 2FA juga sama, bahkan saat masih ada kredit $4 di akun)

    • Katanya masa penghapusannya samar, padahal sebenarnya 1 tahun(panduan resmi)

    • Kebijakannya adalah akun gratis akan dihapus jika tidak login selama 12~24 bulan. Untuk layanan berbayar, mereka bahkan mendukung kirim uang tunai (uang kertas) lewat pos. Saya paham prinsipnya, tetapi dari cara memintanya, Anda terlihat seperti pelanggan yang agak tidak realistis

    • Saya penasaran siapa yang menggantikan posisi nomor 1 itu

    • Saya juga punya beberapa akun gratis Proton, dan tetap baik-baik saja meskipun tidak dipakai lebih dari 4 tahun. Rasanya suasana menyalahkan Proton hanya karena satu pernyataan ini agak berlebihan. Ada kesan semacam antipati kolektif yang menyebar. Tentu mereka bukan perusahaan sempurna, tetapi menurut saya privasinya tidak bisa dibandingkan dengan layanan email big tech AS. Saya harap orang tidak melihatnya terlalu negatif. Dan banyak yang menyebutnya “tidak stabil”, tetapi saya pribadi tidak pernah merasakan masalah di desktop maupun mobile

    • Kalau Anda tidak membayar, Anda bukan pelanggan, hanya menerima kemurahan hati. Sebaiknya jangan terlalu berharap banyak dari sesuatu yang gratis

  • Saya pelanggan berbayar Proton sejak 2018, tetapi baru-baru ini membatalkan langganan karena layanannya terlalu banyak bug dan tidak stabil (berakhir pada November). Saya penasaran apakah ada rekomendasi penyedia email dan VPN alternatif. Saya mendengar kabar baik tentang Fastmail dan mailbox.org (baru-baru ini rebranding menjadi mailbox dan juga merombak layanannya). Saya juga ingin tahu apakah ada cara mudah memindahkan banyak sekali alamat email virtual yang dibuat dengan SimpleLogin ke layanan baru; mengubahnya satu per satu akan sangat menyiksa

    • Fastmail tidak bermasalah buat saya. UI-nya memang agak terbatas, tetapi secara teknis bekerja sempurna dan cepat. Hampir tidak pernah down. Kalender, buku alamat, dan integrasi pihak ketiga juga bagus. Untuk pengguna individu sudah lebih dari cukup, dan baru-baru ini bahkan menambah dukungan offline. Untuk VPN, kalau Anda sensitif soal privasi, yang terbaik adalah membangun tunnel sendiri, misalnya pakai VPS di Estonia atau memasang Wireguard di rumah plus DDNS dan semacamnya

    • Saya masih agak tidak percaya pada mailbox karena isu dari 9 tahun lalu yang masih tersisa tautan

    • Saya memakai Fastmail dan Mullvad bersama, keduanya harganya masuk akal dan berfungsi dengan baik. Saya juga merekomendasikan mencoba hosting sendiri di VPS

    • Saya sudah memakai Zoho bersama keluarga lebih dari 4 tahun dan sangat puas. Tidak ada biaya per domain, jadi saya memakai 12 domain. Pengaturan aplikasi web dan mobile juga beragam, dan layanannya cepat serta stabil. UI-nya juga tidak sering berubah, jadi mudah diprediksi dan nyaman

    • Posteo.de (tidak mendukung domain kustom), mailbox.org, runbox.com, mailfence, migadu, cranemail, dan lainnya juga layak dipertimbangkan. Semuanya lebih murah daripada Fastmail dan mendukung IMAP, jadi mudah untuk migrasi atau backup

  • Saya rasa dalam situasi seperti ini Proton sulit menghindari kritik apa pun yang mereka lakukan. Jika mereka berkata tidak akan menurunkan akun tanpa perintah pengadilan, media bisa saja dengan jahat membingkainya sebagai “tempat berkumpulnya para penjahat”

    • Menerapkan kebijakan yang lebih buruk karena rasa takut bukanlah hal yang benar. Proton Mail sudah berkali-kali menerima kritik seperti itu, jadi lebih baik tetap konsisten menjalankan kebijakan yang masuk akal. Saya harap mereka tidak goyah karena media clickbait lalu membuat kompromi yang tidak berarti

    • Posisi mereka sekarang menurut saya hanya mendekati penghindaran tanggung jawab. Toh sekarang pun mereka tetap bekerja sama dan sesekali tetap menerima kritik media. Bahkan kalau mereka benar-benar menjalankan apa yang mereka klaim, hasilnya mungkin tidak akan banyak berbeda

    • Sebagian besar permintaan CERT memang bermakna dan layak ditindaklanjuti, tetapi salah juga kalau dituruti tanpa syarat, dan salah juga kalau diabaikan begitu saja. Terutama kalau ada banding atau laporan keamanan yang sah, semestinya harus ada peninjauan manual. Daripada memilih langkah ekstrem, mereka perlu mencari titik tengah yang masuk akal

  • Tautan ke jawaban resmi Proton di Reddit(asli), dan saya ingin tahu informasi lebih rinci tentang kontak awal dari CERT

  • Saya rasa kebisuan Proton justru merugikan mereka. Citra sebagai layanan yang tepercaya, aman, dan tegas terasa melemah akibat kejadian ini

    • Di sisi lain, saya rasa tindakan Ladar Levison dan Lavabit sekitar 10 tahun lalu justru memberi mereka kepercayaan besar. Sebagai referensi, Lavabit(situs) saat ini menyatakan bahwa pendaftaran baru dihentikan dan mereka fokus memperbaiki layanan yang sudah ada

  • PSA: Proton menghapus akun yang dianggap “tidak aktif” jika tidak login selama 1 tahun. Kriterianya tidak jelas, misalnya walau akun hanya menerima email dan tidak mengirim, itu bisa diklasifikasikan sebagai “tidak digunakan”. Gara-gara itu saya sekarang tidak bisa memulihkan akun iCloud, dan proses offboarding akun ini tampaknya akan memakan cukup banyak waktu

    • Katanya kriteria “tidak digunakan” tidak jelas, tetapi menurut kebijakan resmi, login sekali setahun saja sudah cukup untuk mempertahankan akun(tautan kebijakan)

    • Saya penasaran apakah sistem pembayaran Proton yang dulu tidak transparan itu masih dipakai. Saya pernah upgrade lewat kupon, lalu setelah masa aktifnya habis akun otomatis berubah jadi saldo minus dan terkunci, dan hanya bisa dibuka lagi kalau membayar. Sejak itu saya tidak lagi memakai Proton

    • Saya penasaran apakah kebijakan ini juga berlaku untuk akun berbayar. Misalnya kalau saya bayar di muka untuk 5 tahun lalu menghilang selama 3 tahun, apakah akun itu tetap hidup?

  • Gagasan bahwa perusahaan email dan VPN tidak mematuhi hukum itu sangat naif. Kalau tidak begitu, bahkan penyedia pemrosesan pembayaran pun tidak akan menyetujui mereka. Selain itu, perlu juga diingat bahwa perusahaan hosting atau operator jaringan di atasnya bisa langsung memblokir akun atau perusahaannya

    • Tetapi saya penasaran hukum spesifik apa yang Anda maksud. Apakah Anda mengatakan itu dengan asumsi Anda tahu hukum apa yang membuat Proton bertindak seperti itu di setiap tahap, atau ini cuma omongan tanpa makna?