ProtonMail поделился IP-адресом активиста с Европолом, несмотря на его заявления об отсутствии журнала
Несмотря на свою политику «отсутствия журналов» и сервис электронной почты со сквозным шифрованием, ProtonMail раскрывает IP-адреса активистов, выступающих против джентрификации, правоохранительным органам, что приводит к арестам во Франции.
Группа активистов во Франции борется против джентрификации, спекуляции недвижимостью и многого другого. 1 сентября группа разместила на Paris-luttes.com статью, посвященную полицейским расследованиям в отношении различных членов группы. Французская полиция отправила запрос в Европол с требованием поручить ProtonMail раскрыть личности участников группировки.
По словам компании, она получила «юридически обязывающий приказ от Федерального департамента юстиции Швейцарии» в отношении Youth of Climate, коллектив, которому Proton была обязана подчиняться. Служба передала IP-адреса и соответствующую информацию, используемую группой активистов для доступа к ProtonMail.
В ответ на Reddit компания сказала:
«Proton получил юридически обязывающий приказ от Федерального департамента юстиции Швейцарии, который мы обязаны выполнить. Не было возможности обжаловать или оспорить этот конкретный запрос, поскольку на самом деле имело место действие, противоречащее швейцарскому законодательству (и это также было окончательным решением Федерального департамента юстиции, который проводит юридическую проверку каждого случая)».
Позиция конфиденциальности ProtonMail
Швейцарская компания Proton предлагает услугу электронной почты ProtonMail и VPN под названием ProtonVPN. На своем веб-сайте ProtonMail сообщает, что не хранит никакой личной информации и журналов IP-адресов. Однако мы заметили, что после этого инцидента они полностью изменили свое заявление на своем сайте.
Изображение: Thehackernews
Всего через несколько часов после инцидента мы проверили его веб-сайт, и они удалили заявление «нет журналов IP» со своей домашней страницы. Перед инцидентом ProtonMail рекламировал:
«Для создания безопасной учетной записи электронной почты не требуется никакой личной информации. По умолчанию мы не храним журналы IP-адресов, которые можно связать с вашей анонимной учетной записью электронной почты. Ваша конфиденциальность на первом месте».
Однако после инцидента ProtonMail изменила свою позицию в отношении отсутствия журналов IP, что можно увидеть на их веб-сайте.
«ProtonMail — это электронная почта, которая уважает конфиденциальность и ставит людей (а не рекламодателей) на первое место. Ваши данные принадлежат вам, и наше шифрование гарантирует это. Мы также предоставляем анонимный почтовый шлюз».
Официальный ответ ProtonMail на инцидент
Несмотря на заявление об отсутствии журналов, компания заявила, что у них не было другого выбора, кроме как выполнить запросы иностранных агентств, таких как Европол.
После инцидента генеральный директор и основатель ProtonMain Энди Йен написал в Твиттере :
«Протон должен соответствовать швейцарскому законодательству. Как только преступление совершено, защита конфиденциальности может быть приостановлена, и согласно швейцарскому законодательству мы обязаны отвечать на запросы швейцарских властей».
Он также добавил, что «ProtonMail должен соблюдать швейцарские уголовные расследования. Очевидно, что это делается не по умолчанию, а только в случае принуждения по закону».
После инцидента пользователи ProtonMail обеспокоены конфиденциальностью и видимостью своего IP-адреса, даже если они используют VPN для шифрования или получают доступ к службе электронной почты через Tor для анонимности.
После французского инцидента ProtonMail пересмотрела свою политику конфиденциальности, заявив, что они будут регистрировать IP-адреса пользователей, если они будут обнаружены в нарушении швейцарского законодательства. Их политика конфиденциальности гласит:
«По умолчанию мы не храним постоянные журналы IP-адресов в связи с использованием вами Услуг. Однако журналы IP-адресов могут храниться временно для борьбы со злоупотреблениями и мошенничеством, а ваш IP-адрес может сохраняться постоянно, если вы участвуете в действиях, нарушающих наши положения и условия (рассылка спама, DDoS-атаки на нашу инфраструктуру, атаки методом грубой силы и т. д.). Правовой основой такой обработки является наша законная заинтересованность в защите наших Сервисов от недобросовестных действий. Если вы нарушаете швейцарский закон, ProtonMail может быть юридически принужден зарегистрировать ваш IP-адрес в рамках уголовного расследования в Швейцарии. «
Публичное раскрытие ProtonMail своей политики ведения журналов вызывает тревогу, поскольку компания получила более 13 запросов от швейцарских властей еще в 2017 году. Однако пользователи не уверены, поскольку незаконная деятельность велась за пределами Швейцарии, поскольку протесты проходили во Франции.
Более того, мало кто поверит, что антиджентрификация соответствует критериям «крайних уголовных дел», по которым ProtonMail регистрирует IP-адреса.
Proton также предлагает услугу VPN, которая, по словам Энди Йена, не регистрирует никакой информации об IP и не подпадает под действие швейцарского законодательства.
Он также сказал, что если пользователи развертывают и ProtonVPN, и Tor, они не смогут получить фактический IP-адрес, поскольку он показывает IP-адрес VPN-сервера, к которому подключен пользователь.
Несмотря на такие заявления, пользователи ProtonMail возмущены и обеспокоены своей онлайн-конфиденциальностью и анонимностью, «рекламируемой» сервисом. Законодатели Европейского Союза также дали понять, что пытаются найти способ получить законный доступ к зашифрованным данным, что вызывает озабоченность в отношении конфиденциальности.