Úgy tűnik, hogy nincs az a biztonságos szolgáltatás, ami megkerülheti a törvényeket
Manapság a hétköznapi felhasználók számára is egyre kritikusabb szemponttá válik az adatbiztonság kérdése. Míg vannak, akik legfeljebb a nyaralási fotóikat féltik, mások inkább a vállalati, pénzügyi és más, visszaélésre alkalmas adataikat szeretnék megóvni az adathalász technikáktól. Ha biztonságos, mégis egyszerű és egyben ingyenesen hozzáférhető digitális levelezésről van szó, akkor hamar felbukkan a ProtonMail, mint a legjobban ajánlott választás, ám egy aktuális precedens rámutat, hogy egy hatósági eljárástól még a CERN volt kutatói sem nyújthatnak védelmet.
A ProtonMail bő három év tesztelés után 2016-ban mindenki számára megnyitotta kapuit, mely az USA-ból induló megfigyelési botrányok és az online adathalászat folyamatosan növekvő fenyegetése miatt nagy figyelmet is kapott. A levelező szolgáltatás elsőszámú hívószavai tehát az adatbiztonság és a privát szféra voltak, de legalább ekkora hangsúlyt kapott az elérhetőség, a felhasználóbarát kezelőfelület és az a tény, hogy bárki teljesen ingyen férhet hozzá egy olyan megbízható titkosítást ígérő levelezőhöz, mely alapvető funkcióit tekintve semmivel sem bonyolultabb egy hétköznapi Gmail fióknál. A lényeg alapvetően az, hogy kliens oldali titkosítást alkalmaznak, tehát levelünk még azelőtt kódolásra kerül, hogy átkerülne a ProtonMail szervereire, ahonnan tovább halad a címzett felé. Hogy a végponttól végpontig tartó titkosítást elérjük, két jelszó megadására lesz szükségünk, az egyik a szokásos azonosításhoz, a másik az egyéni titkosító kulcsunkat is tartalmazó postafiók lezárásához és feloldásához szükséges.
Mindezt több neves egyetem mellett a CERN, vagyis az Európai Nukleáris Kutatási Szervezet garantálta, az alapokat ugyanis az internet bölcsőjeként számon tartott szervezet svájci főhadiszállásán alkották meg, a szigorú adatvédelmi törvényekről ismert ország pedig már önmagában sem rossz ajánlólevél. Az érdeklődőknek viszont alapvetően nincs dolga semmi mással, mint ezredszerre is elvégezni egy regisztrációt, a fiókját pedig hagyományos – de kevésbé biztonságos – böngészőből ugyanúgy elérhetik, mint PC-s, Androidos és iOS-es levelezőprogramokkal. Egy újabb jelszó megadásával ráadásul akkor is felhúzhatunk egy védelmi vonalat, ha az adott levelünk célpontja nem ProtonMail-t, hanem mondjuk Gmail címet használ. A Proton Technologies AG néven megalakított szervezet ajánlatát kezdetben tömeges érdeklődés fogadta, mára pedig számos anyagi támogatóra, előfizetőre és több mint egymillió aktív felhasználóra tett szert, éppen ezért büszkén hirdetik, hogy „ma mi vagyunk a világ legnagyobb, biztonságos e-mail szolgáltatója”.
Van akkor bármi okunk az aggodalomra? Nos, technikai értelemben nem feltétlenül, jogi értelemben azonban más a helyzet. Legalábbis erre utalnak azok a friss hírek, melyek szerint a ProtonMail hatósági nyomásra, illetve felkérésre megcáfolta azt az állítását, miszerint nem gyűjt adatokat a felhasználókról, és jelenleg is kritikus információkat szolgáltat ki Európa-, és közvetve az Egyesült Államok bünüldöző szerveinek. A témával foglalkozó források tehát nem is egyetlen ügyhöz kapcsolják az adatközlést, az egyik cikk például klímaaktivisták illegális épületfoglalásairól tesz említést, míg a másik egy amerikai tudósnak küldött halálos fenyegetésekről beszél. A Párizsban zajlott események ügyében nyomozó Europol felszólította a Svájci kormányt, hogy tegye meg a szükséges lépéseket, mely a Youth for Climate mozgalom levelezésének követését jelentette. A ProtonMail végül az IP-címeket és a levelezésre használt eszközökről megszerzett információkat át is adta, mely azóta állítólag több letartóztatást is elősegített. A másik esetben egy Anthony Fauci néven ismert amerikai immonológust ért halálos fenyegetések miatt, az USA adatközlést kért Svájctól, aki a jogsegélykérelmet nem utasította el és már át is adta a rendelkezésére álló adatokat.
A ProtonMail a mai napon frissítette az eredetileg 2014-ben közzétett, terjedelmes átláthatósági nyilatkozatát, melyben aprólékosan elmagyarázzák, hogy a svájci hatóságok időnként segítséget kérhetnek tőlük, a jogilag kötelező érvényű állami utasításoknak pedig meg kell felelniük. Tisztázták, hogy ilyesmi két esetben fordulhat elő. Vagy akkor, ha a svájci hatóság utasítja őket, vagy ha olyan külföldi megkeresés érkezik, melyet olyan jogsegélykérelem előzött meg, amit a svájci hatóságok elbíráltak és jóvá hagytak. Ilyen esetben tehát a privát szférát felfüggesztik, majd átadják a kért információkat a svájci hatóságoknak. A lényeg, hogy az az illúzió most szertefoszlott, hogy a ProtonMail minden esetben, például bűncselekmények esetén is elrejti felhasználóit, igaz, a levelek tartalmához nem fértek hozzá, – de legalábbis nem szolgáltatták ki azokat –, csak az ismeretlen személyek azonosításához járultak hozzá.
Az egyértelmű jogi megkötések ellenére a közösség reakciója nem túl pozitív, tekintve, hogy a vállalat ígéretei szerint nem gyűjtenek, illetve nem tárolnak olyan adatokat, melyek a névtelen e-mail fiókokhoz és általuk a felhasználóikhoz kapcsolhatók.