ProtonMail Mengubah Kebijakannya Setelah Menyerahkan Data Aktivis


Akhir pekan ini, berita memecahkan bahwa layanan email anonim ProtonMail diserahkan alamat IP aktivis iklim Prancis dan sidik jari browser kepada otoritas Swiss. Langkah tersebut tampaknya bertentangan dengan kebijakan perusahaan yang berfokus pada privasi, yang baru-baru ini seperti yang dinyatakan minggu lalu, “Secara default, kami tidak menyimpan log IP apa pun yang dapat ditautkan ke akun email anonim Anda.”

Setelah memberikan metadata aktivis kepada otoritas Swiss, ProtonMail menghapus bagian yang tidak menjanjikan log IP, menggantinya dengan yang mengatakan, “ProtonMail adalah email yang menghormati privasi dan mengutamakan orang (bukan pengiklan).”

Tidak Ada Pencatatan ‘Secara Default’

Seperti biasa, iblis ada dalam perinciannya—kebijakan asli ProtonMail hanya mengatakan bahwa layanan tidak menyimpan log IP “secara default”. Namun, sebagai perusahaan Swiss, ProtonMail berkewajiban untuk memenuhi tuntutan pengadilan Swiss bahwa itu mulai mencatat alamat IP dan informasi sidik jari browser untuk akun ProtonMail tertentu.

Akun itu dioperasikan oleh Youth for Climate cabang Paris, yang digambarkan Wikipedia sebagai gerakan yang diilhami Greta Thunberg yang berfokus pada siswa sekolah yang bolos kelas Jumat untuk menghadiri protes.

Menurut beberapa pernyataan yang dikeluarkan ProtonMail pada hari Senin, ia tidak dapat mengajukan banding atas permintaan Swiss untuk pencatatan IP di akun itu. Layanan tersebut tidak dapat mengajukan banding karena undang-undang Swiss sebenarnya telah dilanggar dan karena “alat hukum untuk kejahatan serius” digunakan—alat yang menurut ProtonMail tidak sesuai dengan kasus yang dihadapi, tetapi secara hukum harus dipatuhi.

Hancurkan Peramban Tor Anda

Selain menghapus referensi yang menyesatkan jika secara teknis benar untuk kebijakan logging “default”, ProtonMail berjanji untuk mendorong para aktivis untuk menggunakan jaringan Tor. Bagian “Data Anda, Aturan Anda” yang baru di halaman depan ProtonMail secara langsung menautkan ke halaman arahan yang mengumpulkan informasi tentang penggunaan Tor untuk mengakses ProtonMail.

Menggunakan Tor untuk mengakses ProtonMail dapat mencapai apa yang secara hukum tidak dapat dilakukan oleh ProtonMail: pengaburan alamat IP penggunanya. Karena jaringan Tor menyembunyikan asal jaringan pengguna sebelum paket mencapai ProtonMail, bahkan panggilan pengadilan yang valid tidak dapat mengeluarkan informasi itu dari ProtonMail—karena tidak pernah menerimanya sejak awal.

Perlu dicatat bahwa anonimitas yang ditawarkan oleh Tor bergantung pada sarana teknis, bukan kebijakan—yang bisa menjadi pedang bermata dua. Jika lembaga pemerintah bisa kompromi node Tor yang dilalui lalu lintas untuk melacak asalnya, tidak ada kebijakan yang mencegah pemerintah melakukannya—atau menggunakan data tersebut untuk tujuan penegakan hukum.

ProtonMail juga mengoperasikan layanan VPN yang disebut ProtonVPN, dan ini menunjukkan bahwa hukum Swiss melarang pengadilan negara tersebut untuk memaksa layanan VPN untuk mencatat alamat IP. Secara teori, jika Youth for Climate telah menggunakan ProtonVPN untuk mengakses ProtonMail, pengadilan Swiss tidak dapat memaksa layanan tersebut untuk mengekspos alamat IP “aslinya”. Namun, perusahaan tampaknya lebih condong ke arah merekomendasikan Tor untuk tujuan khusus ini.

Hanya Ada Begitu Banyak Layanan Email yang Dapat Dienkripsi

ProtonMail juga berhati-hati untuk menunjukkan bahwa, meskipun alamat IP penggunanya dan sidik jari browser dikumpulkan oleh otoritas Swiss yang bertindak atas nama Interpol, jaminan email perusahaan isi privasi tidak dilanggar.

Layanan ini menggunakan enkripsi ujung ke ujung dan sengaja tidak memiliki kunci yang diperlukan untuk mendekripsi badan email atau lampiran pengguna. Tidak seperti alamat IP sumber dan sidik jari browser, pengumpulan data itu tidak mungkin hanya dengan mengubah konfigurasi di server perusahaan sendiri seperti yang diminta oleh perintah pengadilan.

Meskipun ProtonMail dapat dan memang mengenkripsi badan email itu sendiri dengan kunci yang tidak tersedia untuk server yang memprosesnya, protokol SMTP mengharuskan pengirim email, penerima email, dan stempel waktu pesan dapat diakses oleh server. Mengakses layanan melalui Tor atau VPN dapat membantu mengaburkan alamat IP dan sidik jari browser, tetapi layanan tersebut masih dapat dipaksa secara hukum untuk memberikan bidang tersebut kepada penegak hukum Swiss.

Selain itu, baris subjek email bisa juga dienkripsi tanpa melanggar protokol SMTP—tetapi dalam praktiknya, layanan ProtonMail tidak, yang berarti pengadilan terkait dapat memaksa layanan untuk menyediakan data tersebut juga.

Cerita ini awalnya muncul di Ars Technica.


Lebih Banyak Cerita WIRED yang Hebat


Diposting oleh : SGP Prize