你以为用了 Proton Mail 就安全了?
这两天 404 Media 曝出一个让隐私圈炸锅的消息:Proton Mail 向瑞士当局提供了用户的支付数据,然后这些数据被转交给了 FBI,最终帮助后者锁定了一个匿名账号背后的真实身份。
这个账号跟亚特兰大的「Stop Cop City」运动有关——一群人反对在公园旁边建大型警察训练中心,组织了抗议、扎营、甚至有人涉嫌纵火和涂鸦。FBI 一直在调查这个运动的参与者。
端到端加密救不了你的付款记录
Proton Mail 的卖点一直是「端到端加密」和「受瑞士隐私法保护」。邮件内容确实是加密的,这点没问题。但这次泄露的不是邮件内容——是支付信息。
你想想:你注册 Proton Mail 的时候可能用了匿名邮箱,但你升级付费版的时候呢?信用卡、PayPal,每一种支付方式都直接指向你的真实身份。
加密保护的是内容,不是元数据,更不是你的钱包。
瑞士法律没有你想象的那么铁
Proton Mail 总部在瑞士,这一直是它的隐私光环。但瑞士不是法外之地。当瑞士当局收到正式的法律请求(这次大概率是通过 MLAT 国际司法互助条约),Proton 就必须配合。
这不是第一次了。2021 年,Proton Mail 就曾因为法国当局的请求,交出了一个气候活动人士的 IP 地址。当时他们的回应是「我们很遗憾,但法律就是法律」。
所以,Proton Mail 到底保护了什么?
- ✅ 邮件内容(端到端加密,他们自己也看不到)
- ❌ IP 地址(可以被要求记录)
- ❌ 支付信息(完全可以提供给执法部门)
- ❌ 账号元数据(注册时间、登录频率等)
真正的问题不是 Proton 背叛了谁
说实话,Proton Mail 可能真的没有选择。瑞士法律要求他们配合合法的执法请求,不配合就是违法。他们不是在「背叛用户」,他们是在「遵守法律」。
真正的问题是:我们对「隐私服务」的期望从一开始就是错的。
我们以为用了加密邮箱就等于隐身了。但隐私从来不是一个产品能给你的,它是一个完整的操作安全体系(OpSec)。你的邮件加密了,但你的支付没有。你的通信加密了,但你的 IP 没有。你藏住了内容,但你藏不住你是谁。
那还能怎么办?
如果你真的需要匿名通信(记者、举报人、活动人士),光用 Proton Mail 是不够的:
- 永远用 Tor 访问——隐藏 IP
- 永远用免费版——不留支付痕迹
- 注册时不要用任何可追溯的信息
- 不要在同一个浏览器里登录你的真实账号
- 考虑用 Tails OS——从 U 盘启动,不留本地痕迹
但说到底,大多数人不会这么做。大多数人只是想要一个「不读你邮件」的邮箱,Proton Mail 确实做到了这点。只是别把它当成隐身斗篷。
一个有意思的细节
404 Media 的报道还提到,这个案件中涉及的 60 多名被告,后来所有指控都被撤销了。也就是说,FBI 花了大力气去追踪这些人的身份,最后法院说:算了,不追究了。
这才是最讽刺的地方——隐私被打破了,但打破它的理由最终也不成立了。