ProtonMail द्वारा उपयोगकर्ता डेटा उजागर करने के बाद स्पेन में गिरफ़्तारी

• स्पेनिश अधिकारियों के कानूनी अनुरोध के संबंध में ProtonMail ने कैटलोनिया स्वतंत्रता संगठन Democratic Tsunami के एक सदस्य का डेटा उजागर किया। इसके परिणामस्वरूप उस सदस्य को गिरफ़्तार किया गया।

• ProtonMail एक स्विट्ज़रलैंड-आधारित सुरक्षित ईमेल सेवा है, जो end-to-end encryption और सख्त no-logs policy के लिए जानी जाती है। 2021 में भी इसने फ़्रांस के एक climate activist की गिरफ़्तारी से जुड़े कानूनी अनुरोध का पालन किया था।

• इस मामले का मुख्य बिंदु यह है कि ProtonMail ने Xuxo Rondinaire नामक उपनाम इस्तेमाल करने वाले व्यक्ति के अकाउंट से जुड़े recovery email address को स्पेनिश पुलिस को सौंपा। इस व्यक्ति पर Catalonia police (Mossos d'Esquadra) के सदस्य के रूप में आंतरिक जानकारी Democratic Tsunami आंदोलन को देने का आरोप है।

• स्पेनिश अधिकारियों ने ProtonMail से मिले recovery email के आधार पर Apple से अतिरिक्त जानकारी मांगी और उस व्यक्ति की पहचान कर ली। यह tech कंपनियों, user privacy और law enforcement agencies के बीच जटिल परस्पर संबंध का एक उदाहरण है।

• इस अनुरोध पर ProtonMail की प्रतिक्रिया स्विस क़ानून से बंधी थी, जो उसे स्विस अदालत प्रणाली के माध्यम से औपचारिक रूप दिए गए अंतरराष्ट्रीय कानूनी अनुरोधों का पालन करने के लिए बाध्य करता है। केवल 2022 में ही ProtonMail ने 5,971 data requests का जवाब दिया था।

OPSEC का महत्व

• यह स्थिति सख्त OPSEC (operational security) बनाए रखने के महत्व की याद दिलाती है। यह समझना ज़रूरी है कि recovery information या कम privacy protection वाले secondary services, जैसे Apple account, से जुड़ाव एक संभावित कमजोरी बन सकता है।

• जिन उपयोगकर्ताओं को privacy को लेकर चिंता है, खासकर वे जो संवेदनशील या राजनीतिक गतिविधियों में शामिल हैं, उन्हें privacy tools का इस्तेमाल करते समय OPSEC को सर्वोच्च प्राथमिकता देनी चाहिए।

• ऐसे recovery email या फ़ोन नंबर के उपयोग से बचने की सलाह दी जाती है जिन्हें व्यक्तिगत पहचान या मुख्य काम से सीधे जोड़ा जा सके; anonymity देने वाले disposable email या virtual phone number पर विचार करना चाहिए; IP address छिपाने के लिए VPN का उपयोग करना चाहिए; और anonymous payment methods का इस्तेमाल भी सुझाया जाता है।

Proton का रुख

• Proton ने इस मामले के मुख्य तथ्यों की पुष्टि की और कहा कि Apple से प्राप्त डेटा का उपयोग आतंकवाद के एक संदिग्ध की पहचान के लिए किया गया, जो यह दिखाता है कि Proton अपने पास केवल न्यूनतम उपयोगकर्ता जानकारी ही रखता है।

• Proton मूल रूप से privacy प्रदान करता है, लेकिन anonymity नहीं। anonymity के लिए उचित OPSEC बनाए रखने में उपयोगकर्ता की अपनी कोशिश ज़रूरी है, जैसे Apple account को optional recovery method के रूप में न जोड़ना।

• Proton recovery email जोड़ना अनिवार्य नहीं बनाता। ऐसा इसलिए है क्योंकि सैद्धांतिक रूप से इसे स्विस अदालत के आदेश के तहत सौंपा जा सकता है। आतंकवाद स्विट्ज़रलैंड में भी अवैध है।

GN⁺ की राय

• यह मामला साफ़ तौर पर दिखाता है कि user privacy और law enforcement के बीच संतुलन बनाना कितना कठिन है। इसे national security के नाम पर encrypted communication services की सीमाओं के उजागर होने के उदाहरण के रूप में देखा जा सकता है।

• ProtonMail के नज़रिए से देखें तो वह स्विस क़ानून से बंधा हुआ है, लेकिन यदि ऐसी घटनाएँ बार-बार होती रहीं तो वह उपयोगकर्ताओं का भरोसा खो सकता है। सख्त no-logs policy का दावा करते हुए भी हर साल हज़ारों data requests का जवाब देना अपने आप में विरोधाभासी लग सकता है।

• संवेदनशील गतिविधियों में शामिल उपयोगकर्ताओं को इस घटना के बहाने अपने OPSEC स्तर की समीक्षा करनी चाहिए। यह नहीं भूलना चाहिए कि चाहे कोई सेवा कितनी भी सुरक्षित हो, recovery email जैसे secondary link के ज़रिए पहचान उजागर होने का जोखिम बना रहता है।

• दूसरी ओर, law enforcement agencies को यह भी सोचना चाहिए कि क्या वे आतंकवाद-रोधी कार्रवाई के नाम पर अत्यधिक उपयोगकर्ता जानकारी की मांग कर रही हैं। लोकतांत्रिक विरोध गतिविधियों और आतंकवाद के बीच अंतर न करने वाला रवैया निगरानी-प्रधान समाज की ओर जाने का शॉर्टकट बन सकता है।

• सरकार और कंपनियों द्वारा दी जाने वाली privacy की सीमाओं को समझना और व्यक्तिगत स्तर पर OPSEC प्रयासों में ढिलाई न बरतना, privacy की रक्षा का सबसे अच्छा तरीका हो सकता है। इसके लिए VPN, anonymous payment, disposable email जैसे विभिन्न उपायों का उपयोग किया जा सकता है।