PayPal zamroził środki Protonmail… bo dbanie o prywatność wymaga zgody rządu
Zlokalizowana w neutralnej Szwajcarii poczta Protonmail nie ma łatwego startu. Usługa, którą opisywaliśmy dokładniej w połowie maja, a która jest tworzona przez naukowców z instytutów CERN i MIT, skupia się na bezpieczeństwie i prywatności poczty elektronicznej. Projekt szuka wsparcia w serwisie Indiegogo i stał się ofiarą pierwszego ataku. Wymierzył go… PayPal, zamrażając środki zebrane przez zainteresowanych. Jaki był powód? Według firmy dbanie o swoją prywatność wymaga zgody rządu…
02.07.2014 | aktual.: 02.07.2014 14:23
Cała usługa jest nad wyraz ciekawa z kilku powodów. Przede wszystkim zlokalizowana jest na terenie, na który nie sięgają macki ani prawa USA, ani Unii Europejskiej, choć to po prawdzie niemal środek Europy. Protonmail szyfruje wszystkie dane przy pomocy AES, nie mając żadnego dostępu do kluczy szyfrujących. Użytkownik zakładając konto oprócz adresu i hasła wybiera też samodzielnie klucz. Jeśli go zapomni, poczta będzie bezużyteczna. Sama usługa zapewnia ponadto dodatkowe zalety, jak chociażby zgodność z innymi operatorami (wysyła wtedy tylko link do zaszyfrowanej wiadomości), pozwala na automatyczne usuwanie poczty po określonym czasie, a także nie zbiera żadnych danych o swoich użytkownikach.
Autorzy przeprowadzając zbiórkę mieli nadzieje, że nie spotka ich los innych projektów, które padły ofiarą PayPala. Serwis ten czasami blokuje konta tego typu, argumentując to tym, że cele jakie im przyświecają łamią jego zasady. Zaryzykowali. W przeciągu ostatnich dwóch tygodni zebrane zostało 275 tysięcy dolarów wsparcia, po tym PayPal konto zawiesił i środki zamroził. Na pewno nie wynikało to z popularności (która też może wydawać się w niektórych sytuacjach podejrzana). Po kontakcie z przedstawicielami PayPala autorzy usługi otrzymali zadziwiające pytanie: czy Protonmail jest zgodny z prawem i czy posiadają oni zgodę rządu na szyfrowanie wiadomości? Oczywiście nie zaznaczono o jaki rząd chodzi, nie wspomniano ani słowem o prawie, które nawet w USA poprzez poprawkę do konstytucji gwarantuje bezpieczeństwo osobistych środków.
Dalsze próby kontaktu nie przyniosły żadnego rezultatu, dopiero wczorajszego popołudnia pieniądze zostały odmrożone. Sama konto jest jednak zawieszone i użytkownicy nie mogą wspierać Protonmail poprzez PayPala, bo wpłaty jak i wypłaty są zablokowane. Autorzy usługi zastrzegają, że przed zamrożeniem nie otrzymali od serwisu żadnych sygnałów, nikt się z nimi w tej sprawie nie kontaktował. Sprawa wygląda więc na zupełnie absurdalną i podaje w wątpliwość działanie amerykańskiej firmy, która oferuje usługi płatnicze. Czy była to blokada celowa, demonstracja siły? Jeżeli tak, odniosła odwrotny skutek do zamierzonego, budząc powszechne oburzenie jawnym ograniczaniem swobód obywatelskich. Użytkownicy jeżeli zechcą, mogą tworzyć swoją korespondencję, mogą ją niszczyć, mogą ją też chronić przed wzrokiem osób niepowołanych. Serwis najwidoczniej o tym zapomniał. Protonmail można jednak wspierać dalej, wykorzystując do tego celu bitcoiny.
Sam PayPal w ostatnim czasie odnotował inną niemałą wpadkę. Okazało się bowiem, że dwuskładnikowe uwierzytelnienie stanowiące istotny z punktu widzenia bezpieczeństwa element można obejść, na dodatek w łatwy sposób. Aplikacja mobilna do obsługi konta PayPal nie obsługuje mechanizmu Security Key i w przypadku logowania wyświetla stosowny komunikat. Wystarczyło jednak po zalogowaniu się odciąć dostęp do sieci np. poprzez uruchomienie trybu samolotowego. Po przywróceniu połączenia użytkownik był zweryfikowany, mógł dowolnie korzystać z aplikacji i z zalogowanego konta. Pomimo zgłoszenia ze strony użytkownika, serwis nie zajął się tą sprawą. Reakcja pojawiła się dopiero po zbadaniu problemu przez specjalistów z Duo Security. Serwis nie dba o bezpieczeństwo swoich użytkowników, może dlatego przeszkadza mu to, że ktoś próbuje lepiej podejść do niektórych kwestii?