ProtonMail เปิดเผยข้อมูลผู้ใช้ จนนำไปสู่การจับกุมในสเปน

• ProtonMail ได้เปิดเผยข้อมูลของสมาชิกกลุ่ม Democratic Tsunami ซึ่งเป็นองค์กรสนับสนุนเอกราชคาตาลุญญา ตามคำขอทางกฎหมายของทางการสเปน ส่งผลให้สมาชิกคนดังกล่าวถูกจับกุม

• ProtonMail เป็นบริการอีเมลความปลอดภัยสูงจากสวิตเซอร์แลนด์ที่มีชื่อเสียงด้านการเข้ารหัสแบบ end-to-end และนโยบายไม่เก็บบันทึกการใช้งานอย่างเข้มงวด โดยในปี 2021 ก็เคยปฏิบัติตามคำขอทางกฎหมายที่เกี่ยวข้องกับการจับกุมนักเคลื่อนไหวด้านสภาพอากาศชาวฝรั่งเศสมาแล้ว

• ประเด็นสำคัญของเหตุการณ์นี้คือ ProtonMail ได้ส่งมอบที่อยู่อีเมลสำหรับกู้คืนซึ่งเชื่อมโยงกับบัญชีของบุคคลที่ใช้นามแฝงว่า Xuxo Rondinaire ให้กับตำรวจสเปน บุคคลนี้ถูกกล่าวหาว่าเป็นเจ้าหน้าที่ของตำรวจคาตาลุญญา (Mossos d'Esquadra) ที่ส่งข้อมูลภายในให้กับขบวนการ Democratic Tsunami

• ทางการสเปนใช้ข้อมูลอีเมลกู้คืนที่ได้รับจาก ProtonMail ไปขอข้อมูลเพิ่มเติมจาก Apple และสามารถระบุตัวบุคคลดังกล่าวได้ เหตุการณ์นี้สะท้อนให้เห็นถึงความสัมพันธ์อันซับซ้อนระหว่างบริษัทเทคโนโลยี ความเป็นส่วนตัวของผู้ใช้ และหน่วยงานบังคับใช้กฎหมาย

• การตอบสนองต่อคำขอครั้งนี้ของ ProtonMail อยู่ภายใต้ข้อผูกพันของกฎหมายสวิสที่กำหนดให้ต้องให้ความร่วมมือต่อคำขอทางกฎหมายระหว่างประเทศที่ได้รับการรับรองอย่างเป็นทางการผ่านช่องทางที่เหมาะสม (ระบบศาลสวิส) โดยในปี 2022 เพียงปีเดียว ProtonMail ได้ตอบสนองต่อคำขอข้อมูล 5,971 รายการ

ความสำคัญของ OPSEC

• สถานการณ์นี้ตอกย้ำถึงความสำคัญของการรักษา OPSEC (ความมั่นคงปลอดภัยเชิงปฏิบัติการ) อย่างเคร่งครัด ควรตระหนักว่าข้อมูลสำหรับการกู้คืนหรือการเชื่อมโยงกับบริการรองที่มีระดับการคุ้มครองความเป็นส่วนตัวต่ำกว่า (เช่น บัญชี Apple) อาจกลายเป็นช่องโหว่ได้

• ผู้ใช้ที่กังวลเรื่องความเป็นส่วนตัว โดยเฉพาะผู้ที่เกี่ยวข้องกับกิจกรรมอ่อนไหวหรือกิจกรรมทางการเมือง ควรให้ OPSEC เป็นสิ่งสำคัญสูงสุดเมื่อใช้งานเครื่องมือด้านความเป็นส่วนตัว

• ควรหลีกเลี่ยงการใช้อีเมลหรือหมายเลขโทรศัพท์สำหรับกู้คืนที่อาจเชื่อมโยงโดยตรงกับข้อมูลระบุตัวตนหรือภารกิจหลัก พิจารณาใช้อีเมลแบบใช้แล้วทิ้งหรือหมายเลขโทรศัพท์เสมือนที่ช่วยเพิ่มความไม่ระบุตัวตน ใช้ VPN เพื่อซ่อนที่อยู่ IP และใช้วิธีชำระเงินแบบไม่เปิดเผยตัวตน

จุดยืนของ Proton

• Proton ยืนยันประเด็นสำคัญของเหตุการณ์นี้ และระบุว่าการที่ข้อมูลจาก Apple ถูกนำไปใช้เพื่อระบุตัวผู้ต้องสงสัยก่อการร้าย แสดงให้เห็นว่า Proton เก็บข้อมูลผู้ใช้ไว้เพียงขั้นต่ำเท่านั้น

• Proton ระบุว่าโดยพื้นฐานแล้ว บริษัทให้ความเป็นส่วนตัว แต่ไม่ได้ให้ความไม่ระบุตัวตน ความไม่ระบุตัวตนจำเป็นต้องอาศัยความพยายามของผู้ใช้ในการทำ OPSEC อย่างเหมาะสม เช่น การไม่เพิ่มบัญชี Apple เป็นช่องทางกู้คืนแบบเลือกได้

• Proton ไม่ได้บังคับให้ผู้ใช้ต้องเพิ่มอีเมลสำหรับกู้คืน และข้อมูลนี้ในทางทฤษฎีก็อาจถูกส่งมอบได้ตามคำสั่งศาลสวิส การก่อการร้ายเป็นสิ่งผิดกฎหมายในสวิตเซอร์แลนด์เช่นกัน

ความเห็นของ GN⁺

• เหตุการณ์นี้แสดงให้เห็นอย่างชัดเจนว่าการสร้างสมดุลระหว่างความเป็นส่วนตัวของผู้ใช้กับการบังคับใช้กฎหมายเป็นเรื่องยากเพียงใด และอาจถือเป็นกรณีที่เผยให้เห็นข้อจำกัดของบริการสื่อสารแบบเข้ารหัสภายใต้ข้ออ้างเรื่องความมั่นคงของรัฐ

• ในมุมของ ProtonMail แม้จะหลีกเลี่ยงข้อผูกพันตามกฎหมายสวิสไม่ได้ แต่หากเหตุการณ์ลักษณะนี้เกิดขึ้นซ้ำ ก็อาจทำให้สูญเสียความเชื่อมั่นจากผู้ใช้ได้ การชูนโยบายไม่เก็บบันทึกการใช้งานอย่างเข้มงวด ขณะเดียวกันก็ตอบสนองต่อคำขอข้อมูลหลายพันครั้งต่อปี อาจถูกมองว่าเป็นความย้อนแย้งในตัวเอง

• ผู้ใช้ที่เกี่ยวข้องกับกิจกรรมอ่อนไหวควรใช้เหตุการณ์นี้เป็นโอกาสตรวจสอบระดับ OPSEC ของตนเอง อย่าลืมว่าไม่ว่าบริการจะปลอดภัยเพียงใด ก็ยังมีความเสี่ยงที่ตัวตนจะถูกเปิดเผยผ่านจุดเชื่อมต่อรอง เช่น อีเมลสำหรับกู้คืน

• ขณะเดียวกัน หน่วยงานบังคับใช้กฎหมายก็ควรทบทวนว่ามีการร้องขอข้อมูลผู้ใช้อย่างเกินขอบเขตภายใต้ข้ออ้างเรื่องการต่อต้านการก่อการร้ายหรือไม่ ท่าทีที่ไม่แยกแยะระหว่างการประท้วงเชิงประชาธิปไตยกับการก่อการร้าย อาจเป็นทางลัดไปสู่สังคมแห่งการสอดส่อง

• การตระหนักถึงข้อจำกัดของความเป็นส่วนตัวที่รัฐบาลและบริษัทมอบให้ พร้อมทั้งไม่ละเลยความพยายามด้าน OPSEC ในระดับบุคคล น่าจะเป็นวิธีที่ดีที่สุดในการปกป้องความเป็นส่วนตัว โดยสามารถใช้แนวทางต่าง ๆ เช่น VPN การชำระเงินแบบไม่เปิดเผยตัวตน และอีเมลแบบใช้แล้วทิ้ง