ProtonMail ділиться IP-адресою активіста з Європолом, незважаючи на його претензії “без реєстрації”
Незважаючи на свою політику «без журналів», наскрізне зашифровану службу електронної пошти, ProtonMail розкриває IP-адресу активістів проти джентрифікації правоохоронним органам, що призводить до арештів у Франції.
Група активістів у Франції бореться з джентрифікацією, спекуляцією нерухомістю тощо. 1 вересня група опублікувала на Paris-luttes.com статтю, присвячену поліцейським розслідуванням проти різних членів групи. Французька поліція надіслала запит до Європолу з проханням наказати ProtonMail розкрити особи учасників групи.
За словами компанії, вона отримала «юридично обов'язковий наказ від Федерального департаменту юстиції Швейцарії» щодо Youth of Climate, колективу, який Proton був зобов’язаний виконувати. Служба передала IP-адреси та відповідну інформацію, яку група активістів використовувала для доступу до ProtonMail.
У відповіді на Reddit компанія сказала:
«Протон отримав юридично обов’язковий наказ від Федерального департаменту юстиції Швейцарії, який ми зобов’язані виконувати. Не було жодної можливості оскаржити цей конкретний запит, оскільки дія, що суперечить швейцарському законодавству, фактично мала місце (і це також було остаточне рішення Федерального департаменту юстиції, яке проводить юридичний розгляд кожної справи)».
Позиція про конфіденційність ProtonMail
Швейцарська компанія Proton пропонує службу електронної пошти під назвою ProtonMail і VPN під назвою ProtonVPN. На своєму веб-сайті ProtonMail повідомляє, що не зберігає жодної особистої інформації та журналів IP. Проте ми помітили, що після цього інциденту вони повністю змінили свою заяву на своєму сайті.
Зображення: Thehackernews
Через кілька годин після інциденту ми перевірили його веб-сайт, і вони видалили заяву про відсутність IP-журналів зі своєї домашньої сторінки. Перед інцидентом ProtonMail рекламував:
«Для створення захищеного облікового запису електронної пошти не потрібна особиста інформація. За замовчуванням ми не зберігаємо жодних IP-журналів, які можна пов’язати з вашим анонімним обліковим записом електронної пошти. Ваша конфіденційність на першому місці».
Однак після інциденту ProtonMail змінила свою позицію щодо відсутності журналів IP, як можна побачити на їхньому веб-сайті.
«ProtonMail — це електронна пошта, яка поважає конфіденційність і ставить людей (а не рекламодавців) на перше місце. Ваші дані належать вам, і наше шифрування гарантує це. Ми також надаємо анонімний шлюз електронної пошти».
Офіційна реакція ProtonMail на інцидент
Незважаючи на те, що компанія не заявляла про відсутність журналів, у компанії заявили, що у них не було іншого вибору, окрім як виконати запити іноземних агентств, таких як Європол.
Після інциденту генеральний директор і засновник ProtonMain Енді Йен написав у Twitter :
«Протон повинен відповідати швейцарським законам. Щойно скоєно злочин, захист конфіденційності може бути призупинено, і відповідно до швейцарського законодавства ми зобов’язані відповідати на запити швейцарської влади».
Він також додав, що «ProtonMail має відповідати швейцарським кримінальним розслідуванням. Очевидно, що це робиться не за замовчуванням, а лише за наявності закону».
Після інциденту користувачі ProtonMail стурбовані конфіденційністю та видимістю своєї IP-адреси, навіть якщо вони використовують VPN для шифрування або отримують доступ до служби електронної пошти через Tor для анонімності.
Після інциденту у Франції ProtonMail переглянув свою політику конфіденційності, вказавши, що вони будуть реєструвати IP-адреси користувачів, якщо вони виявляться порушенням швейцарського законодавства. У їхній політиці конфіденційності зазначено:
«За замовчуванням ми не ведемо постійні IP-журнали щодо використання вами Сервісів. Проте журнали IP можуть зберігатися тимчасово для боротьби з зловживанням та шахрайством, а ваша IP-адреса може зберігатися назавжди, якщо ви берете участь у діяльності, яка порушує наші умови та положення (спам, DDoS-атаки на нашу інфраструктуру, атаки грубої сили тощо). Правовою основою цієї обробки є наш законний інтерес у захисті наших Сервісів від нечесної діяльності. Якщо ви порушуєте швейцарське законодавство, ProtonMail може бути юридично змушений зареєструвати вашу IP-адресу в рамках швейцарського кримінального розслідування. “
Публічне розкриття ProtonMail своєї політики ведення журналу викликає тривогу, оскільки компанія отримала понад 13 запитів від швейцарської влади ще в 2017 році. Однак користувачі не впевнені, оскільки незаконна діяльність відбувалася за межами Швейцарії, оскільки протести відбувалися у Франції.
Більше того, мало хто повірить, що антиджентрифікація відповідає критеріям «екстремальних кримінальних справ», за якими ProtonMail реєструє IP-адреси.
Proton також пропонує послугу VPN, яка, за словами Енді Йєна, не реєструє жодної інформації про IP і не підпадає під юридичну основу швейцарського законодавства.
Він також сказав, що якщо користувачі розгортають і ProtonVPN, і Tor, вони не зможуть отримати фактичну IP-адресу, оскільки вона показує IP сервера VPN, до якого підключений користувач.
Незважаючи на такі заяви, користувачі ProtonMail обурені та стурбовані своєю конфіденційністю в Інтернеті та анонімністю, яку «рекламує» сервіс. Законодавці Європейського Союзу також подали сигнал про те, що вони намагаються знайти спосіб отримати легальний доступ до зашифрованих даних, що викликає занепокоєння щодо конфіденційності.