Журналисты писали о предполагаемых северокорейских хакерах. Proton восстановил их аккаунты только после общественного возмущения.
Фото: Идрис Аббас/SOPA Images/LightRocket/Getty Images
КОМПАНИЯ PROTON, СТОЯЩАЯ ЗА почтовым сервисом Proton Mail, называет себя «нейтральным и безопасным убежищем для ваших персональных данных, призванным защищать вашу свободу». Однако в прошлом месяце компания Proton заблокировала учётные записи электронной почты журналистов, сообщавших о нарушениях безопасности различных правительственных компьютерных систем Южной Кореи, после жалобы неуказанного агентства по кибербезопасности. После общественного возмущения и нескольких недель работы учётные записи журналистов были в конечном итоге восстановлены, но журналисты и редакторы, причастные к инциденту, всё ещё хотят получить ответы на вопрос, как и почему Proton вообще решил закрыть эти учётные записи.
Мартин Шелтон, заместитель директора по цифровой безопасности в Freedom of the Press Foundation, подчеркнул, что многие редакции используют сервисы Proton в качестве альтернативы чему-то вроде Gmail «именно для того, чтобы избегать подобных ситуаций», указав на то, что «хотя приятно видеть, что Proton пересматривает вопрос о приостановке аккаунтов, журналисты относятся к числу пользователей, которым эти и подобные инструменты нужны больше всего». Такие редакции, как The Intercept, Boston Globe и Tampa Bay Times, полагаются на Proton Mail для отправки сообщений по электронной почте .
Шелтон отметил, что, возможно, Proton следует «в первую очередь отвечать журналистам на вопросы о блокировке аккаунтов в частном порядке, а не тогда, когда они становятся вирусными».
На Reddit официальный аккаунт Proton заявил , что «Proton не блокировал учётные записи электронной почты журналистов сознательно» и что «ситуация, к сожалению, была преувеличена». Proton не ответил на запрос The Intercept о комментарии.
ДВОЕ ЖУРНАЛИСТОВ, чьи аккаунты были заблокированы, работали над статьей , опубликованной в августовском номере популярного хакерского журнала Phrack. В статье описывалось, как сложная хакерская операция, известная в кибербезопасности как APT (Advanced Permanent Threat), проникла в ряд южнокорейских компьютерных сетей, включая сети Министерства иностранных дел и Командования военной контрразведки (DCC).
Журналисты, опубликовавшие свою историю под псевдонимами Saber и cyb0rg, описывают взлом как деятельность Kimsuky — печально известной северокорейской государственной APT-группы, санкционированной Министерством финансов США в 2023 году. Собирая историю воедино, авторы электронных писем, просмотренных The Intercept, показали, что они следовали лучшим практикам кибербезопасности и осуществляли так называемое ответственное раскрытие информации: уведомляли пострадавшие стороны об обнаружении уязвимости в их системах до того, как предать огласке инцидент. Saber и cyb0rg создали специальный аккаунт Proton Mail для координации раскрытия информации, после чего уведомили пострадавшие стороны, включая Министерство иностранных дел и DCC, а также южнокорейские организации, занимающиеся кибербезопасностью, такие как Корейское агентство по интернету и безопасности и KrCERT/CC , государственную группу реагирования на компьютерные инциденты. Согласно электронным письмам, с которыми ознакомился The Intercept, KrCERT ответил авторам, поблагодарив их за раскрытие информации.
Примечание о терминологии кибербезопасности: CERT — это агентства, состоящие из экспертов по кибербезопасности, специализирующихся на реагировании на инциденты безопасности. CERT существуют более чем в 70 странах, причем в некоторых странах существует несколько CERT, каждый из которых специализируется на определенной области, например, на финансовом секторе, и могут быть как государственными, так и частными организациями. Они придерживаются ряда формальных технических стандартов , например, обязаны реагировать на сообщения об угрозах кибербезопасности и инцидентах безопасности. Ярким примером агентства CERT в США является Агентство кибербезопасности и инфраструктуры, недавно расформированное администрацией Трампа.
Через неделю после выхода печатного номера Phrack и за несколько дней до выхода цифровой версии Saber и cyb0rg обнаружили, что учётная запись Proton, созданная ими для уведомлений о раскрытии информации, была заблокирована. Днём позже Saber обнаружил, что его личный аккаунт Proton Mail также был заблокирован. Phrack опубликовал хронологию блокировок аккаунтов в начале опубликованной статьи, а позже выделил её в вирусном посте в социальных сетях . Согласно скриншотам попыток входа в аккаунт, изученным The Intercept, оба аккаунта были заблокированы из-за неуказанного «потенциального нарушения правил».
В уведомлении о приостановке авторы должны были заполнить форму апелляции по поводу злоупотреблений Proton Mail, если они считали, что приостановка была ошибочной. Saber выполнила это и получила ответ от члена команды Proton Mail по борьбе с злоупотреблениями, известного под именем Данте. В электронном письме, с которым ознакомился The Intercept, Данте сообщил Saber, что его аккаунт «был отключен в результате прямого подключения к аккаунту, который был удален из-за нарушения наших условий и положений при использовании в вредоносных целях». Данте также предоставил ссылку на условия обслуживания Proton , заявив: «Мы четко указали, что к любому аккаунту, используемому для несанкционированной деятельности, будут применены соответствующие санкции». В конце ответа говорилось: «Мы считаем, что предоставление доступа к вашему аккаунту нанесет дальнейший ущерб нашему сервису, поэтому мы заблокируем аккаунт».
22 августа редакторы Phrack обратились к Proton, написав, что через заблокированные почтовые аккаунты не передавались взломанные данные, и спросили, можно ли деэскалировать ситуацию с блокировкой аккаунтов. Не получив ответа от Proton, редактор отправил повторное письмо 6 сентября. Proton снова не ответил на письмо. 9 сентября официальный аккаунт Phrack X опубликовал пост с вопросом к официальному аккаунту Proton, почему Proton «отменяет встречи с журналистами и игнорирует нас», добавив: «Нужна помощь в калибровке ваших моральных ориентиров?» Пост быстро стал вирусным, набрав более 150 000 просмотров. На следующий день официальный аккаунт Proton ответил, что Proton «получил уведомление от CERT о том, что определённые учётные записи используются хакерами в нарушение Условий обслуживания Proton. Это привело к отключению группы учётных записей. Наша команда сейчас рассматривает эти случаи индивидуально, чтобы определить, можно ли восстановить хотя бы одну из них». Затем Proton заявил , что «поддерживает журналистов», но «не может видеть содержимое учётных записей и, следовательно, не всегда может знать, когда меры по борьбе со злоупотреблениями могут непреднамеренно повлиять на законный активизм».
Компания Proton публично не уточнила, какой именно CERT отправил им предупреждение, и не ответила на запрос The Intercept о названии конкретного CERT, отправившего предупреждение. KrCERT также не ответила на вопрос The Intercept о том, отправил ли он предупреждение Proton. СвязанныйProton Mail заявляет о своей «политической нейтральности», восхваляя Республиканскую партию
Позже в тот же день основатель и генеральный директор Proton Энди Йен опубликовал в X сообщение о восстановлении двух аккаунтов. Ни Йен, ни Proton не объяснили, почему аккаунты были восстановлены, были ли они признаны не нарушающими условия обслуживания, почему их вообще заблокировали и почему член команды Proton по борьбе со злоупотреблениями повторил, что аккаунты нарушали условия обслуживания во время апелляции Saber.
Фрак отметил, что блокировка аккаунтов «нанесла серьёзный ущерб автору. Автор не смог ответить на запросы СМИ о статье». Соавторы, отметил Фрак, также находились в процессе ответственного раскрытия информации и работали вместе с различными пострадавшими южнокорейскими организациями, помогая им исправить свои системы. «Proton всё это отрицал и испортил», — заявил Фрак.
Редакторы Phrack заявили, что инцидент вызывает у них «озабоченность тем, что это может означать для других информаторов и журналистов. Сообществу нужны гарантии того, что Proton не заблокирует аккаунты, если только у Proton нет постановления суда или преступление (или нарушение условий обслуживания) не является очевидным».