Kullanıcı verilerini gizlemekle yükümlü internet devleri, gün geçtikçe kullanıcılara karşı döndürülen silahlar haline gelmeye başladı. Şimdi de güvenli posta hizmeti sunmakla övünen ProtonMail’in, bir Fransız aktivistin IP adresini İsviçre’ye verdiği ortaya çıktı.
Olay aslında Fransa ile ilgili. Aktivistin IP adresini isteyen de Fransa. Şirket, Fransa’ya cevap olarak IP adreslerini kaydetmediğini ve yalnızca yerel düzenlemelere – bu durumda İsviçre yasalarına – uyduğunu belirtmiş. Bunun üzerine Fransız polisi, ProtonMaili zorlamak için Europol aracılığıyla İsviçre polisine bir talep göndermiş. İşte Fransız polisi raporlarında bu konudaki gelişmeler anlatılınca, ProtonMail açısından talihsiz bir olay meydana gelmiş oldu. Vermemesi gereken kullanıcı verilerini vermiş oldu.
Hep söyleriz, bu firmaların asıl sermayesi “kullanıcı sayısı”. Yani kullanıcılarını kaybederse, servisler yokolur. İnternetin ilk yıllarında kullanıcılara bu nedenle çok özen gösteriyorlardı. Ama şimdilerde çok büyük sayılarda kullanıcılara ulaşınca, artık aldırmaz hale geldiler.
Olay Neydi?
Geçen yıl, bir grup insan, Paris’teki Place Sainte Marthe bölgesinin emlak spekülasyonuna, Airbnb ve pahalı restoranların olduğu bir yere dönüşmesine karşı kampanya açmışlar. 1 Eylül’de grup, polisin kendilere karşı soruşturmalar ve davalar açtığına dair bir haberi Paris-luttes.info’da yayınlamış. Makalede, Fransız polisi ProtonMail hesabı kullanan bir aktivistin kimliğini ortaya çıkarmak için şirkete Europol talebi göndermiş.
Ertesi gün, Twitter’da @MuArF, ProtonMail’in yanıtını detaylandıran bir polis raporunun özetini paylaştı.
@MuArF’a göre, polis raporunda Protonmail’in e-posta adresinin oluşturulduğu IP adresini ve cihaz cinsini ve seri numarasını verdiği yazıyor.
ProtonMail’in kurucusu ve CEO’su Andy Yen ise yine Twitter üzerinden cevaplar verdi.
“Proton, İsviçre yasalarına uymak zorundadır. Bir suç işlenir işlemez mahremiyet korumaları askıya alınabilir ve İsviçre yasalarına göre İsviçre makamlarından gelen taleplere cevap vermemiz gerekiyor.
Ama taahütlerimiz değişmeden duruyor. Biz hala uygunsuz hükümet taleplerine karşı dururuz.
Olayla ilgili tam hikaye şurada [1]”
ProtonMail Kendi Gizlilik Politikasını mı İhlal Ediyor?
Özetle Andy Yen, şirketinin Fransız polisi veya Europol ile işbirliği yapmadığını söylüyor. Bu olayda Avrupa polis teşkilatı olan Europol, Fransız makamları ile İsviçre makamları arasındaki iletişim kanalı olarak hareket etmiş gibi görünüyor.
ProtonMail’in yayınladığı şeffaflık raporunda da ilginç bir durum şu; diğer hükümetler ProtonMail konusunda İsviçre kozunu farketmiş gözüküyorlar. Çünkü, 2020’de talep sayısının yükseldiği anlaşılıyor.
ProtonMail’in gizlilik politikası uyarınca, İsviçre yasalarına göre geçerli bir talebe yanıt olarak bir kullanıcı hesabında sağlayabileceği bilgiler, kullanıcı tarafından sağlanan hesap bilgilerini (e-posta adresi gibi); hesap etkinliği/meta verileri (gönderen, alıcı e-posta adresleri; gelen mesajların kaynaklandığı IP adresleri; mesajların gönderilip alındığı zamanlar; mesaj konuları vb.); toplam mesaj sayısı, kullanılan depolama alanı ve son oturum açma zamanı ve harici sağlayıcılardan ProtonMail’e gönderilen şifrelenmemiş mesajlar şeklinde veriliyor.
ProtonMail, uçtan uca şifreli bir e-posta sağlayıcısı olarak, gizlilik politikası uyarınca e-posta verilerinin şifresini çözemez, bu nedenle bir emirle sunulsa bile e-postanın içeriği hakkında bilgi sağlayamaz.
Ancak şeffaflık raporunda şirket, (yasal olarak) yürütmekle yükümlü olabileceği ek bir veri toplama katmanına da işaret ediyor:
“Gizlilik politikamızda listelenen öğelere ek olarak, büyük ceza davalarında ProtonMail, suç faaliyetlerinde bulunan ProtonMail hesaplarına erişmek için kullanılan IP adreslerini de izlemekle yükümlüdür.”
İşte esas problem burada. ProtonMail bunu söylerken, kendisinin uçtan-uca güvenli mail hizmeti sunduğuna güvenen kişilere karşı bir ihlal yapmış olmuyor mu?
Kaldı ki, yukarıda bahsedilen aktivist böylesine büyük bir ceza davasının öznesi midir?
Hükümetler Şifreli Verilere Ulaşmaya Çalışıyor
Olay Avrupa’da geçtiği için Avrupa’dan örnekleyeceğiz ama her yer için geçerli.
Avrupa’daki internet kullanıcılarının gizliliğini tehdit edebilecek başka bir endişe verici gelişmede, Avrupa Birliği milletvekilleri, güçlü şifrelemeyi desteklediklerini iddia etseler bile, şifreli verilere yasal erişim sağlamanın yollarını bulmak için çalışıyor olmaları.
ProtonMail ve bir dizi diğer uçtan uca şifreli hizmet, ocak ayında açık bir mektupta , AB milletvekillerinin bu yönde devam etmeleri halinde, arka kapı şifrelemesine doğru tehlikeli bir yola sokma riskiyle karşı karşıya oldukları konusunda uyardı.
Olay kullanıcılar tarafında endişelere neden oluyor.