ProtonMail condivide l’indirizzo IP dell’attivista con Europol nonostante le sue affermazioni “No Log”.
Nonostante la sua politica "no log", servizio di posta elettronica crittografato end-to-end, ProtonMail rivela l'indirizzo IP degli attivisti anti-gentrificazione alle forze dell'ordine, portando ad arresti in Francia.
Un gruppo di attivisti in Francia ha combattuto contro la gentrificazione, la speculazione immobiliare e altro ancora. Il 1 settembre, il gruppo ha pubblicato un articolo su Paris-luttes.com incentrato sulle indagini della polizia contro vari membri del gruppo. La polizia francese ha inviato una richiesta a Europol per ordinare a ProtonMail di scoprire l'identità dei membri del gruppo.
Secondo la società, ha ricevuto un "ordine legalmente vincolante dal Dipartimento federale di giustizia svizzero" in merito a Youth of Climate, un collettivo a cui Proton era obbligata a conformarsi. Il servizio ha consegnato gli indirizzi IP e le relative informazioni utilizzate dal gruppo di attivisti per accedere a ProtonMail.
In una risposta su Reddit, la società ha dichiarato:
“Proton ha ricevuto un ordine giuridicamente vincolante dal Dipartimento federale di giustizia svizzero a cui siamo obbligati a rispettare. Non c'era la possibilità di impugnare o contrastare questa particolare richiesta perché, di fatto, si è verificato un atto contrario al diritto svizzero (e questa è stata anche la decisione finale del Dipartimento federale di giustizia che fa un riesame legale di ogni caso)."
Posizione sulla privacy di ProtonMail
La società svizzera Proton offre un servizio di posta elettronica chiamato ProtonMail e una VPN chiamata ProtonVPN. Sul suo sito Web, ProtonMail afferma di non conservare alcuna informazione personale e registri IP. Tuttavia, abbiamo notato che dopo questo incidente hanno completamente cambiato la loro dichiarazione sul loro sito web.
Immagine: Thehackernews
Subito dopo poche ore dall'incidente, abbiamo controllato il suo sito Web e hanno rimosso l'affermazione "nessun registro IP" dalla loro home page. Prima dell'incidente, ProtonMail pubblicizzava:
“Non sono richieste informazioni personali per creare il tuo account di posta elettronica sicuro. Per impostazione predefinita, non conserviamo alcun registro IP che può essere collegato al tuo account di posta elettronica anonimo. La tua privacy viene prima di tutto”.
Dopo l'incidente, tuttavia, ProtonMail ha cambiato posizione riguardo all'assenza di registri IP, come si può vedere sul loro sito web.
‘ProtonMail è un'e-mail che rispetta la privacy e mette le persone (non gli inserzionisti) al primo posto. I tuoi dati appartengono a te e la nostra crittografia lo garantisce. Forniamo anche un gateway e-mail anonimo".
La risposta ufficiale di ProtonMail all'incidente
Nonostante la sua dichiarazione di assenza di registri, la società ha affermato di non avere altra scelta che soddisfare le richieste di agenzie straniere come Europol.
Dopo l'incidente, il CEO e fondatore di ProtonMain Andy Yen ha twittato :
“Proton deve rispettare la legge svizzera. Non appena viene commesso un reato, la protezione della privacy può essere sospesa e la legge svizzera ci obbliga a rispondere alle richieste delle autorità svizzere".
Ha inoltre aggiunto che ” ProtonMail deve rispettare le indagini penali svizzere. Questo ovviamente non viene fatto per impostazione predefinita, ma solo se legalmente forzato".
Dopo l'incidente, gli utenti di ProtonMail sono preoccupati per la privacy e la visibilità del proprio indirizzo IP anche se utilizzano una VPNper la crittografia o accedono al servizio di posta elettronica tramite Tor per l'anonimato.
Dopo l'incidente francese, ProtonMail ha rivisto la propria politica sulla privacy affermando che registreranno gli indirizzi IP degli utenti se vengono trovati in violazione della legge svizzera. La loro politica sulla privacy afferma:
“Per impostazione predefinita, non conserviamo registri IP permanenti in relazione al tuo utilizzo dei Servizi. Tuttavia, i registri IP possono essere conservati temporaneamente per combattere abusi e frodi e il tuo indirizzo IP può essere conservato in modo permanente se sei coinvolto in attività che violano i nostri termini e condizioni (spamming, attacchi DDoS contro la nostra infrastruttura, attacchi di forza bruta, ecc.). La base giuridica di questo trattamento è il nostro legittimo interesse a proteggere i nostri Servizi da attività nefaste. Se stai violando la legge svizzera, ProtonMail può essere legalmente obbligato a registrare il tuo indirizzo IP come parte di un'indagine penale svizzera. “
La divulgazione pubblica da parte di ProtonMail della sua politica di registrazione è allarmante poiché la società ha ricevuto oltre 13 richieste dalle autorità svizzere nel 2017. Tuttavia, gli utenti sono incerti poiché le attività illegali erano al di fuori della Svizzera, poiché le proteste si sono svolte in Francia.
Inoltre, poche persone crederebbero che l'anti-gentrificazione soddisfi i criteri dei "casi criminali estremi" in base ai quali ProtonMail registra gli indirizzi IP.
Proton offre anche un servizio VPN, che secondo Andy Yen non registra alcuna informazione IP ed è al di fuori della base legale del diritto svizzero.
Ha anche affermato che se gli utenti implementano sia ProtonVPN che Tor, non sarebbero in grado di ottenere l'indirizzo IP effettivo, poiché mostra l'IP del server VPN a cui è connesso l'utente.
Nonostante tali affermazioni, gli utenti di ProtonMail sono infuriati e preoccupati per la loro privacy online e l'anonimato "pubblicizzato" dal servizio. I legislatori dell'Unione Europea hanno anche dato un segnale che stanno cercando di trovare un modo per ottenere l'accesso legale ai dati crittografati, sollevando problemi di privacy.