Yüz avuç içi: Proton Mail, kullanıcı verilerini kolluk kuvvetlerine teslim etmekle ilgili yenilenen suçlamalarla karşı karşıya. İsviçreli şirket, görünüşte müşterilerinin kimliklerini meraklı gözlerden korumak için uçtan uca şifrelemeye sahip güvenli bir e-posta hizmeti sağlıyor. Ancak son olaylar aksini gösteriyor.
Proton Mail, geçtiğimiz günlerde İspanyol yetkililere Katalan bağımsızlık örgütü Demokratik Tsunami’nin bir üyesinin kimliğini tespit edip tutuklamak için yeterli veri sağladığı için inceleme altına alındı. Şirket, İsviçre yasaları nedeniyle kolluk kuvvetleriyle işbirliği yapmak zorunda kaldığını iddia etti. İspanyol polisinin bireyi yakalamadaki başarısının kısmen kişinin uygun bir Operasyonel Güvenlik (OpSec) politikasının olmamasından kaynaklandığını ileri sürdüler.
Proton Mail’in ana hizmeti, 2013 yılında kurulan uçtan uca şifrelenmiş bir e-posta platformudur. Platform, e-posta içeriğinin hem üçüncü şahıslar hem de şirket tarafından okunamaz kalmasını sağlamayı amaçlamaktadır. Proton Mail, mesaj içeriğine erişemediğini iddia ederken, sunucularından geçen kullanıcıyla ilgili bazı veriler potansiyel olarak kişileri tanımlamak için kullanılabilir.
2021’deki ayrı bir olayda Proton Mail’in İsviçreli yetkililere bir Fransız iklim aktivistinin IP adresini ve cihaz ayrıntılarını sağlaması gerekti. Bu bilgi daha sonra Fransız yetkililer tarafından aktivisti yakalamak için kullanıldı. Proton Mail, e-posta içeriği şifrelenirken şirketin cezai kovuşturma vakalarında sunucularından geçen herhangi bir veri için yasal erişim taleplerine uymak zorunda olduğunu açıkladı.
İspanyol polisinin karıştığı son davada Proton, görünüşe göre “Xuxo Rondinaire” olarak bilinen bir müşteri tarafından kullanılan Apple kurtarma e-posta adresini sağlamak zorunda kalmıştı. Müşterinin Katalonya’nın polis gücü Mossos d’Esquadra ile işbirliği yaparken bölgedeki bağımsızlık hareketine gizlice yardım ettiğinden şüpheleniliyordu.
Yetkililer, Apple’dan takma ismin arkasındaki kişiyi tespit edebilmeleri için ek veri talep etti. Proton CEO’su Andy Yen, “terörist” olduğu iddia edilen kişiyi yakalamak için kullanılan kişisel verilerin Proton tarafından değil Apple tarafından sağlandığını doğruladı. Yen, Proton’un verinin şifresini çözemeyeceğini ancak İsviçre mahkemelerinin “terör davalarında” kurtarma e-posta adreslerinin paylaşılmasını zorunlu kılabileceğini vurguladı.
Yazılı bir açıklamada Proton AG, e-posta hizmetlerinin “minimum kullanıcı bilgisini” sakladığını ve tam anonimliği garanti etmediğini açıkladı. Gelişmiş güvenlik isteyen müşteriler, isteğe bağlı bir kurtarma yöntemi olarak orijinal Apple hesaplarını kullanmaktan kaçınmak gibi uygun Operasyonel Güvenlik (OpSec) önlemlerini uygulamalıdır. Proton Mail’i kullanmak için bir kurtarma adresi zorunlu olmasa da şirket, bir İsviçre mahkemesi kararı uyarınca bu tür bilgileri ifşa etmek zorunda kalabilir.