O ProtonMail foi forçado a divulgar o endereço IP de um usuário às autoridades suíças, embora tivesse um bom motivo. Leia mais sobre isso aqui.
ProtonMail é um serviço elogiado por seu compromisso com a privacidade. É um favorito particular entre os jornalistas, pois pode ser usado por denunciantes e similares de forma segura, sem medo de revelar a sua identidade. No entanto, o ProtonMail foi recentemente obrigado pelas autoridades suíças a divulgar o endereço IP de um usuário que havia registrado, embora tivesse um bom motivo.
Há alguns meses, o voo FR4978 da Ryanair viajava de Atenas, na Grécia, para Vilnius, na Lituânia. No entanto, o voo foi desviado para o aeroporto de Minsk, na Bielorrússia, depois de uma ameaça de bomba ter sido enviada ao Aeroporto Nacional de Minsk e aos aeroportos da State Enterprise Lithuanian. Estes e-mails foram enviados de um endereço ProtonMail de acordo com a investigação de apuração de fatos da ICAO, e o que é particularmente interessante é que o endereço IP usado para criar a conta também foi divulgado às autoridades pelo ProtonMail.
Após a aterragem do avião em Minsk, o jornalista Roman Protasevich e a sua namorada Sofia Sapega foram presos. Investigadores na Lituânia lançou uma investigação pré-julgamento no assunto, razão pela qual o ProtonMail foi obrigado, através de um “mecanismo de assistência jurídica mútua”, a divulgar o endereço IP às autoridades. Os Estados Unidos também acusaram recentemente o governo bielorrusso de "pirataria aérea" após o incidente, acusando quatro funcionários do governo bielorrusso.
ProtonMail disse em um comunicado em maio de 2021, que foi obrigado por um pedido oficial do governo suíço a divulgar o informações que possuía, embora tenha deixado claro que o próprio e-mail foi divulgado por investigadores jornalistas. “Apoiamos as autoridades europeias nas suas investigações, pois somos legalmente obrigados a fazê-lo com base num pedido oficial do governo suíço”.
No entanto, muitos podem se surpreender com o fato de o ProtonMail ter conseguido liberar o endereço IP do criador da conta. O compromisso da empresa com a privacidade (conforme demonstrado pelo conteúdo dos e-mails e da caixa de correio serem totalmente criptografados) teria levado muitos a acreditar que não seria capaz de recuperar o endereço IP. Entrei em contato com o ProtonMail perguntando como isso era possível e me disseram que a empresa não comenta casos específicos. No entanto, recebi a seguinte resposta em ampla referência à empresa política de Privacidade.
"Dados relativos à abertura de conta"detalha as medidas tomadas para evitar abusos e proteger os usuários. Especificamente: "Endereços IP, endereços de e-mail e números de telefone fornecidos são salvos temporariamente para enviar a você um código de verificação e para fins anti-spam"
Parece que quando o governo lituano percebeu que a ameaça de bomba era uma farsa, o ProtonMail foi contatado. O voo da Ryanair forçado a aterrar na Bielorrússia voou a 23 de maio de 2021, o que significa que a empresa manteve um registo do endereço IP durante pouco mais de uma semana. Não está claro por quanto tempo o ProtonMail mantém os endereços IP, endereços de e-mail e números de telefone após seu último uso.
O que está claro é que a promessa da empresa de criptografar o conteúdo do e-mail não foi quebrada. Tudo o que os investigadores conseguiram coletar do ProtonMail foi a data e hora de criação da conta, junto com o endereço IP usado para criá-la. É importante notar também que não parece que o endereço IP do remetente do e-mail foi registrado, e foi apenas o endereço IP que foi usado para criar a conta.