Trots sin "inga loggar"-policy, end-to-end krypterad e-posttjänst, avslöjar ProtonMail IP-adressen för antigentrifieringsaktivister till brottsbekämpande myndigheter, vilket leder till arresteringar i Frankrike.
En aktivistgrupp i Frankrike har kämpat mot gentrifiering, fastighetsspekulation med mera. Den 1 september publicerade gruppen en artikel på Paris-luttes.com med fokus på polisutredningar mot olika medlemmar i gruppen. Den franska polisen skickade en begäran till Europol om att beordra ProtonMail att avslöja identiteten på gruppmedlemmarna.
Enligt företaget fick det en "rättsligt bindande order från det schweiziska federala justitiedepartementet" angående Youth of Climate, ett kollektiv som Proton var skyldig att följa. Tjänsten överlämnade IP-adresser och relaterad information som användes av aktivistgruppen för att komma åt ProtonMail.
I ett svar på Reddit sa företaget:
"Proton fick en juridiskt bindande order från det schweiziska federala justitiedepartementet som vi är skyldiga att följa. Det fanns ingen möjlighet att överklaga eller bekämpa denna begäran eftersom en handling som strider mot schweizisk lag faktiskt ägde rum (och detta var också det slutliga beslutet av det federala justitiedepartementet som gör en juridisk granskning av varje fall).
ProtonMail Privacy Stance
Det schweiziska företaget Proton erbjuder en e-posttjänst som heter ProtonMail och en VPN som heter ProtonVPN. På sin hemsida säger ProtonMail att de inte för någon personlig information och IP-loggar. Vi märkte dock att de efter denna incident helt ändrade sitt uttalande på sin hemsida.
Bild: Thehackernews
Strax efter några timmar efter händelsen kollade vi dess hemsida, och de har tagit bort påståendet om "inga IP-loggar" från sin hemsida. Innan händelsen annonserade ProtonMail:
"Ingen personlig information krävs för att skapa ditt säkra e-postkonto. Som standard håller vi inga IP-loggar som kan kopplas till ditt anonyma e-postkonto. Din integritet kommer först."
Efter incidenten har dock ProtonMail ändrat sin hållning angående inga IP-loggar, vilket kan ses på deras hemsida.
"ProtonMail är e-post som respekterar integritet och sätter människor (inte annonsörer) först. Dina uppgifter tillhör dig, och vår kryptering säkerställer det. Vi tillhandahåller också en anonym e-postgateway."
ProtonMails officiella svar på incidenten
Trots påståendet om inga loggar sa företaget att de inte hade något annat val än att följa förfrågningar från utländska myndigheter som Europol.
Efter incidenten twittrade ProtonMains vd och grundare Andy Yen :
"Proton måste följa schweizisk lag. Så snart ett brott har begåtts kan integritetsskyddet avbrytas och vi är enligt schweizisk lag skyldiga att svara på förfrågningar från schweiziska myndigheter.”
Han tillade vidare att " ProtonMail måste följa schweiziska brottsutredningar. Detta görs uppenbarligen inte som standard, utan bara om det är lagligt påtvingat.”
Efter incidenten är ProtonMail-användare oroade över integriteten och synligheten för sin IP-adress även om de använder en VPNför kryptering, eller kommer åt e-posttjänsten över Tor för anonymitet.
Efter den franska incidenten har ProtonMail reviderat sin integritetspolicy och säger att de kommer att logga användarens IP-adresser om de upptäcks i strid med schweizisk lag. Deras integritetspolicy säger:
"Som standard håller vi inte permanenta IP-loggar i samband med din användning av tjänsterna. Däremot kan IP-loggar sparas tillfälligt för att bekämpa missbruk och bedrägerier, och din IP-adress kan behållas permanent om du är engagerad i aktiviteter som bryter mot våra villkor (spam, DDoS-attacker mot vår infrastruktur, brute force-attacker, etc). Den rättsliga grunden för denna behandling är vårt berättigade intresse att skydda våra tjänster mot skändliga aktiviteter. Om du bryter mot schweizisk lag kan ProtonMail vara juridiskt tvingad att logga din IP-adress som en del av en schweizisk brottsutredning. "
ProtonMails offentliga avslöjande av sin loggningspolicy är alarmerande eftersom företaget har fått över 13 förfrågningar från de schweiziska myndigheterna redan 2017. Användarna är dock osäkra eftersom de illegala aktiviteterna var utanför Schweiz, eftersom protesterna ägde rum i Frankrike.
Dessutom skulle få människor tro att antigentrifiering uppfyller kriterierna för "extrema brottmål" under vilka ProtonMail loggar IP-adresser.
Proton erbjuder också en VPN-tjänst, som Andy Yen säger inte loggar någon IP-information och ligger utanför den rättsliga grunden för schweizisk lag.
Han sa också att om användare distribuerar både ProtonVPN och Tor, skulle de inte kunna få den faktiska IP-adressen, eftersom den visar IP-adressen för VPN-servern som användaren är ansluten till.
Trots sådana påståenden är användare av ProtonMail rasande och bekymrade över sin integritet och anonymitet online som "annonseras" av tjänsten. Europeiska unionens lagstiftare har också gett en signal om att de försöker hitta ett sätt att få laglig tillgång till krypterad data, vilket väcker integritetsproblem.