De cryptografisch beveiligde e-maildienst Hushmail van de Canadese provider Hush Communications blijkt niet bepaald waterdicht. Hoewel in reclame het tegendeel wordt beweerd, is Hush zelf in staat de mails te lezen.
Het lek kwam aan het licht bij de vervolging in de Verenigde Staten van een handelaar in verboden spierversterkende middelen, die gebruik maakte van Hushmail. In de aanklacht wordt gemeld dat Hushmail 12 cd's vol met e-mails van de verdachte heeft afgegeven, na een bevel van een Canadese rechtbank naar aanleiding van een rechtshulpverzoek uit de VS.
Omdat de mails via een Java-applet gecodeerd worden op de computer van de gebruiker, zijn ze al onleesbaar op het moment dat ze de servers van Hushmail bereiken en zelfs de provider kan ze dan niet meer ontcijferen, iets wat ook in de advertenties wordt beweerd:
not even a Hushmail employee with access to our servers can read your encrypted e-mail, since each message is uniquely encoded before it leaves your computer.
Om hiervan gebruik te maken moeten de gebruikers echter eerst Java en het applet installeren, wat relatief veel werk is. Sinds 2006 biedt Hushmail daarom ook een andere manier van coderen aan. De gebruiker maakt daarbij via een ssl-verbinding gebruik van de Hushmail-servers, waarop vervolgens het coderen en decoderen plaatsvindt. De zwakke plek van deze methode is dat de sleutel naar de server wordt gestuurd, waar hij kan worden onderschept.
In een briefwisseling met de hoofdredacteur van Wired gaf Hushmail toe dat dit inderdaad wel eens gebeurt als een Canadese rechtbank hiertoe een bevel afgeeft. De conclusie is dan ook dat encryptie alleen veilig is, indien deze op de computer van de gebruiker zelf plaatsvindt.