Geçen hafta Proton Mail, İspanyol polisinin Katalan yanlısı bir protestocunun kimliğini tespit etmesine ve tutuklamasına yardımcı olması aktivistleri endişelendirdi.
Şifreli ve güvenli bir e-posta uygulaması olan Proton Mail, gizliliğe öncelik vermesiyle gazeteciler ve muhalifler arasında oldukça popülerdir. Proton, bu terör soruşturmasında, İsviçre merkezli bir gizlilik firması olmasından dolayı yasa gereği, Demokratik Tsunami aktivistine ait kişisel bilgileri direkt Guardia Civil’e teslim etmesi gerekiyordu. Yine de Proton bunu görmezden geldi.
Şirket, 2021 yılında da Fransız bir iklim aktivistinin IP adresi bilgilerini Europol yetkilileriyle paylaşmıştı.
Şaşırtmayacak şekilde insanlar, firmanın bu kararlarını eleştirdi ve uygulamayı tamamen terk etmenin zamanının gelip gelmediğini konuştular. Hatta bazıları Proton’un ürünlerini tamamen kullanmama konusunda uyarıda bulunuyor.
Peki, Proton Mail Aktivistler İçin Hâlâ Güvenli Bir Seçim mi?
Bu sorunun cevabı, platformu nasıl kullandığınız ile ilgili olacaktır. Proton Mail, gazeteciler, insan hakları savunucuları, protestocular ve çevrimiçi gözetimin hedefi olabilecek diğer tüm kullanıcıların başvurulabileceği e-posta sağlayıcılarından biridir. Bunun nedeni, Proton Mail’in kullanıcıların iletişimlerini şifreleyerek şirketin erişebileceği kişisel verileri en aza indirmeye çalışmasıdır.
Şifreleme, verileri okunamaz şekilde karıştırma işlemini ifade eder. Şirketin bir blog gönderisinde açıkladığı gibi, Proton Mail kullanıcıları arasında gönderilen e-postalar her zaman uçtan uca şifrelenir, yani sistem, gönderenin cihazındaki verileri şifrelemek ve yalnızca hedeflenen alıcılara ulaştığında şifresini çözmek için kriptografik anahtarlar kullanır. Sıfır erişimli şifreleme, Proton’un sunucularında sakladığınız mesajlara da uygulanırken, TLS ise e-postalarınızı aktarım sırasında şifreler.
Tüm bunlar, örneğin Proton’un gönderdiğiniz veya aldığınız e-postaların içeriğini paylaşamayacağı, çünkü şirketin kendisinin de bunlara erişemeyeceği anlamına gelir. Bu durum tüm kayıtlı mesajlarınız için de geçerlidir.
Sorun şu ki, bu düzeyde bir şifreleme bile tam anonimliği sağlayamaz çünkü yetkililer hâlâ e-posta adresleri ve IP’ler de dahil olmak üzere meta veri olarak bilinen bazı tanımlanabilir bilgilere erişebilir. Polis memurları bunu biliyor ve şirketleri de bu ayrıntıları kendilerine vermeye zorluyorlar.
İspanya’daki davaya daha yakından bakalım. Aranan protestocunun Proton Mail kullandığı biliniyordu, Guardia Civil de bu doğrultuda Proton’dan bilgi talep etti. Proton’un elinde bahsedilen hesapla ilgili çok değerli olsa da tek bir bilgi vardı: Kurtarma e-postası olarak kullanılan bir iCloud e-posta adresi. Apple da bu iCloud e-postası üzerinden, protestocunun tüm ayrıntılarını yani tam adını, iki ev adresini ve bağlantılı bir Gmail hesabını teslim etti.
Proton sözcüsü Edward Shone şunları söyledi: “Proton, bu vakada terör şüphelisinin kimliğini tespit etmek için kullanıldığı iddia edilen verilerin Apple’dan elde edilmiş olmasının da gösterdiği gibi, asgari düzeyde kullanıcı bilgisine sahiptir.”
Ayrıca şunları ekledi: “Proton bir kurtarma adresi gerektirmiyor, ancak bu durumda terör şüphelisi kendi başına bir adres ekledi. Terör şüphelisi kurtarma sürecini başlatmak isterse bu adrese bir e-posta gönderebilmemiz gerektiğinden bu verileri şifreleyemeyiz.”
Diğer yorumcular (bkz. yukarıdaki tweet) Proton’u savunarak, hiçbir şirketin sizin için hapse girmek istemediğini, ancak “tüm şirketlerin Proton’un yaptığı gibi kullanıcılar hakkında sahip oldukları bilgileri sınırlandırması gerektiğini” yineledi.
Bunun güvenli ve şifreli uygulamaların sınırlarına ışık tutan sayısız örnekten biri olduğuna şüphe yok. Proton, bu bağlamda 2023 yılında toplamda 6.378 yasal emir aldı. Yetkili ekip bunlardan 407’sine başarıyla itiraz etse de geri kalan 5.971’ine uymak zorunda kaldı.
Kaynak: www.techradar.com
