个人信息安全管理:Hushmail与“恐怖分子”声明

星期天(2014年3月9日)凌晨,我收到一封邮件,邮件标题为“关于马来西亚航班MH370事件的声明与解释”(下简称“声明”),附件是一个同名的两页PDF文档,落款为“中国烈士旅领导人”。声明声称为马来西亚航空370号班机事故负责。邮箱是通过Hushmail发来的。

此前一天,即2014年3月8日,马来西亚航空MH370号班机当地时间凌晨0:43离开马来西亚吉隆坡国际机场M号航站楼,原定计划于6:30抵达中国北京首都国际机场,惟于起飞后不足一小时即从雷达上消失,事发后48小时,仍未有该航班的确切信息,引发国际媒体和中国民众的高度关注。

在这个敏感时刻收到这样的来信,我自然不敢怠慢。我浏览该邮件附件的PDF内容后,认为可信度并不高,我不想帮寄信人传播某种特定的信息,于是没有公开发布。但信件如果不是真的,我认为也应该调查是何方神圣想借机制造混乱。我将邮件转发给了一些媒体,交由他们去判断和处理,同时通过一个可信任的朋友,将邮件直接转发给了美国联邦调查局(FBI)的一位探员。

隐秘的发信人
我无意分析声明的具体内容,我感兴趣的是“声明”寄件人如何隐藏他的身份信息——不管他是真正的恐怖分子还是想借机制造混乱,他都需要隐藏自己的真实身份信息,否则极容易给自己带来巨大的风险。

果然,“声明”寄件人使用的邮箱是“mailforwarding31@hushmail.com”,并且邮件中声明“此邮箱只作中转之用途,不会阅读任何回邮以及意见。请勿回复此邮箱。”降低信息被追踪和泄露的风险。

比Gmail更安全
Hushmail被业界认为是比Gmail更加安全的邮箱服务,总公司在加拿大。它与Gmail同样使用SSL的方式链接,让他人无法通过监听网络传输的数据,来解密获取邮件的内容。除此之外,它还采用OpenPGP标准,提供PGP加密邮件功能。广为人称道的是,邮件在发送时隐藏了寄件人的IP地址。

我在Gmail的Web访问界面中,使用其“显示源文件”(show original)的功能查找这封邮件寄件人的IP,搜索“Received: from”只发现了65.39.178.201及65.39.178.29这两个IP,通过iplocation.net查询发现,这两个IP位于美国纽约,属于Hush公司。

使用一般的邮件服务商的邮件,往往还会显示寄件人接入互联网的IP。应该指出的是,Gmail用户之间互寄邮件,并不会显示寄件人的IP。

法律俱全
“声明”由美国纽约的Hush公司服务器寄出,美国政府或机构能否调取该寄件人的个人信息呢?Hushmail的用户协议强调说,记录IP地址是为了“分析市场趋势、收集全球地理信息、以及保护我们的服务不被滥用”,并且说如果没有加拿大不列颠哥伦比亚省最高法院的许可,不会提供用户的隐私信息,其他国家想调取信息,必须通过该国与加拿大的司法互助协议、并取得前述高等法院的许可。显然,难度不小,但并不是万无一失。

2011年的《纽约客》杂志报道了一个案例,托马斯·德雷克是美国国家安全局前任高官,计算机软件专家,政府以违反《反间谍法》的罪名起诉他。起诉书称,德雷克计划将政府机密泄露给一位不知姓名的新闻记者;德雷克还被指控妨碍司法公正,欺骗联邦执法部门。如果所有罪名成立,他将获刑35年。报道中提到,德雷克申请了一个安全的Hushmail电子邮箱用户,匿名与一位叫戈尔曼的记者联系。这些情况,都被美国的司法机构所掌握。

当然还有很多技术办法可以让Hushmail也无法获取用户的个人信息,如先加载TOR匿名代理后再使用Hushmail的服务。

中国用户很少
Hushmail这么安全,似乎应该特别适合中国用户使用,统计却发现,国内用这款邮箱服务的人少之又少。在谷歌趋势的数据中,访问Hushmail前七位的用户所在的国家为:美国、英国、德国、加拿大、瑞士、印度和澳大利亚。

中国用户少,原因大概有几个方面,一个是中国用户未必有这么强的安全要求;二是免费的邮箱账号只有25MB文件的限制,并且没有IMAP或者POP3收信服务;三是如果免费账号在3周内没有登录则会被注销。解决办法就是升级到付费版,一年至少要35美元,显然不是习惯免费服务的中国用户的菜。

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。
Type the characters you see in this picture. (使用语音验证)
填入上图所示的数字或者单词;如果你看不清,点击保存按钮,系统会为您重新生成您新的图片。不区分大小写。