SimpleLogin (Proton) khóa account trả phí: Drama bảo mật mới nhất

Anh em dev chắc không lạ gì SimpleLogin hay Proton – mấy cái tên vàng trong làng bảo mật và quyền riêng tư. Cứ tưởng bỏ tiền ra mua gói Pro là được làm thượng đế, được support tận răng? Nhầm to nhé các ông.

Mới đây, một thanh niên đen đủi đã lên Reddit than trời vì bị SimpleLogin "úp sọt" khóa tài khoản, giam lỏng dữ liệu dù đã đóng tiền đầy đủ. Vụ này đang khiến cộng đồng self-hosted dậy sóng vì độ "ngáo" của đội ngũ support.

Nộp tiền vẫn bị "úp sọt": Chuyện tâm linh hay tính năng?

Chuyện là thế này, một ông dev (tạm gọi là OP - Original Poster) đang dùng gói Pro của SimpleLogin ngon lành. Ông này có domain riêng, nhưng thay vì dùng Gmail hay Outlook, ông ấy trỏ MX record về forwardemail.net – một dịch vụ email forwarding mã hóa cũng khá xịn sò.

Đùng một cái, OP muốn update mailbox thì bị support chặn họng. Lý do? Support phán xanh rờn: forwardemail.net là dịch vụ "tạm bợ/rác" (temporary/burner service), dễ gây mail loop. OP cay cú giải thích: "Alo, tôi sở hữu cái domain này, đây là inbox chính chủ, không phải rác rưởi gì cả. Các ông cũng làm dịch vụ alias, chẳng lẽ cấm luôn cả Gmail vì Gmail cũng tạo được alias à?"

Thay vì check kỹ ticket, đội "anti-abuse" của SimpleLogin làm một pha xử lý cồng kềnh: KHÓA LUÔN TÀI KHOẢN.

Kết quả?

Tiền subscription năm vừa đến hạn renew bị lỗi (do acc bị khóa).
Không đăng nhập được để đổi thẻ hay xuất file backup aliases.
Dữ liệu bị bắt làm con tin đúng nghĩa.
Reset pass vô dụng.

Đang yên đang lành thành kẻ tội đồ, bị nhốt ngoài cửa nhà mình dù đã trả tiền thuê nhà. Support thì làm việc kiểu máy móc, chặn trước tính sau. OP đang tính chuồn sang addy.io nhưng giờ kẹt cứng, không lấy được data ra mà đi.

Giang hồ mạng chia phe combat

Vụ này được bê lên Reddit và ngay lập tức thành cái chợ vỡ. Anh em dev vào khịa không trượt phát nào:

Phe "Vừa ăn cướp vừa la làng": Một user tên gradientByte châm biếm cực gắt: "Buồn cười ở chỗ SimpleLogin đi chê bên khác là 'dịch vụ rác/tạm bợ' trong khi chính nó cũng cung cấp y hệt, và cũng bị spammer lạm dụng y hệt". Kiểu chó chê mèo lắm lông ấy.
Phe "Leak tin nhắn đi anh ơi": Dân tình hóng drama bảo OP tung hê hết email trao đổi lên xem support trả lời láo cỡ nào. Nhưng OP (vẫn còn chút hy vọng mong manh) bảo từ từ, đang bị giữ làm con tin nên phải ngoan, chưa dám manh động.
Phe "Đồng cảnh ngộ": User Dev_Sniper kể từng dính phốt tương tự với tài khoản free. Gửi mail đặt phòng khách sạn đi du lịch, bùm, khóa acc vì nghi ngờ spam. Google nó ghét thì ghét thật nhưng ít ra nó không khóa mõm người dùng vô cớ kiểu này.
Phe "Luật sư tập sự": Một cao nhân hiến kế: "Gửi yêu cầu GDPR đi. Bắt nó xuất dữ liệu ra. Nó mà không làm là ăn kiện sml ở châu Âu đấy". Nước đi này có vẻ sáng cửa nhất để OP lấy lại được danh sách aliases.

Bài học xương máu cho anh em

Vụ này cho thấy một sự thật phũ phàng: Vendor lock-in là cái bẫy chết người, kể cả với những công ty ra rả nói về đạo đức và quyền riêng tư.

Đừng tin bố con thằng nào tuyệt đối: Dù là Proton, Google hay ai đi nữa, dữ liệu của các ông nằm trên server của nó thì nó vẫn nắm đằng chuôi. Support nó vui thì không sao, nó buồn hay AI của nó "ngáo" là các ông ra đường ở.
Backup, backup và backup: Dùng SimpleLogin, Addy hay gì thì nhớ export danh sách aliases định kỳ về máy (local). Đừng để đến lúc bị khóa mới ngớ người ra là toàn bộ contact làm ăn nằm hết trong tay nó.
Self-hosted nếu đủ trình: Nếu anh em đủ cứng, tự host lấy mà dùng (dù biết là chua cay vụ IP reputation). Còn không, hãy chọn thằng nào support người thật việc thật một chút.

Chốt lại, Proton/SimpleLogin pha này mất điểm cực mạnh. Chống abuse là tốt, nhưng chống luôn cả khách hàng trả tiền (power user) thì đúng là tự bắn vào chân rồi.

Nguồn tham khảo

Reddit: Warning: SimpleLogin (Proton) is locking paid accounts

Nộp tiền vẫn bị "úp sọt": Chuyện tâm linh hay tính năng?

Thay vì check kỹ ticket, đội "anti-abuse" của SimpleLogin làm một pha xử lý cồng kềnh: KHÓA LUÔN TÀI KHOẢN.

Kết quả?

Tiền subscription năm vừa đến hạn renew bị lỗi (do acc bị khóa).

Không đăng nhập được để đổi thẻ hay xuất file backup aliases.

Dữ liệu bị bắt làm con tin đúng nghĩa.

Reset pass vô dụng.

Giang hồ mạng chia phe combat

Vụ này được bê lên Reddit và ngay lập tức thành cái chợ vỡ. Anh em dev vào khịa không trượt phát nào:

Phe "Vừa ăn cướp vừa la làng": Một user tên gradientByte châm biếm cực gắt: "Buồn cười ở chỗ SimpleLogin đi chê bên khác là 'dịch vụ rác/tạm bợ' trong khi chính nó cũng cung cấp y hệt, và cũng bị spammer lạm dụng y hệt". Kiểu chó chê mèo lắm lông ấy.

Phe "Leak tin nhắn đi anh ơi": Dân tình hóng drama bảo OP tung hê hết email trao đổi lên xem support trả lời láo cỡ nào. Nhưng OP (vẫn còn chút hy vọng mong manh) bảo từ từ, đang bị giữ làm con tin nên phải ngoan, chưa dám manh động.

Phe "Đồng cảnh ngộ": User Dev_Sniper kể từng dính phốt tương tự với tài khoản free. Gửi mail đặt phòng khách sạn đi du lịch, bùm, khóa acc vì nghi ngờ spam. Google nó ghét thì ghét thật nhưng ít ra nó không khóa mõm người dùng vô cớ kiểu này.

Phe "Luật sư tập sự": Một cao nhân hiến kế: "Gửi yêu cầu GDPR đi. Bắt nó xuất dữ liệu ra. Nó mà không làm là ăn kiện sml ở châu Âu đấy". Nước đi này có vẻ sáng cửa nhất để OP lấy lại được danh sách aliases.

Bài học xương máu cho anh em

Vụ này cho thấy một sự thật phũ phàng: Vendor lock-in là cái bẫy chết người, kể cả với những công ty ra rả nói về đạo đức và quyền riêng tư.

Đừng tin bố con thằng nào tuyệt đối: Dù là Proton, Google hay ai đi nữa, dữ liệu của các ông nằm trên server của nó thì nó vẫn nắm đằng chuôi. Support nó vui thì không sao, nó buồn hay AI của nó "ngáo" là các ông ra đường ở.

Backup, backup và backup: Dùng SimpleLogin, Addy hay gì thì nhớ export danh sách aliases định kỳ về máy (local). Đừng để đến lúc bị khóa mới ngớ người ra là toàn bộ contact làm ăn nằm hết trong tay nó.

Self-hosted nếu đủ trình: Nếu anh em đủ cứng, tự host lấy mà dùng (dù biết là chua cay vụ IP reputation). Còn không, hãy chọn thằng nào support người thật việc thật một chút.