'Sigurni' pružatelj e-pošte ProtonMail predao je korisničke podatke policiji

Politika


'Sigurni' pružatelj e-pošte ProtonMail predao je korisničke podatke policiji

Stručnjaci za privatnost smatraju da je to jedan od najsigurnijih pružatelja usluga e-pošte na internetu, ali nedavna odluka ProtonMaila da preda osjetljive podatke o klijentima europskim tijelima za provođenje zakona postavlja pitanja jesu li zahtjevi tvrtke o privatnosti manje obećanja, a više fatamorgana.

Nakon što je francuska policija zatražila – putem Europola – da švicarske vlasti podijele IP adresu klimatskog aktivista, pružatelj usluga šifrirane e-pošte s kraja na kraj ProtonMail podijelio je podatke korisnika. (ProtonMail sa sjedištem u Švicarskoj ne podliježe francuskoj ili EU jurisdikciji, ali ProtonMail je dužan odgovoriti švicarskim vlastima.)


Francuska policija naišla je na e-adresu tijekom istrage o grupi koja je od kraja 2020. prosvjedovala protiv gentrifikacije u modernoj pariškoj četvrti i htjela je znati tko stoji iza toga, prema lokalnim izvorima vijesti. Istraga je dovela do niza uhićenja na terenu.

“Proton se mora pridržavati švicarskog zakona. Čim se zločin počini, zaštita privatnosti može biti obustavljena, a švicarski zakon od nas zahtijeva da odgovorimo na zahtjeve švicarskih vlasti”, osnivač ProtonMaila Andy Yen je tvitao .

No, na svojoj web stranici ProtonMail je u prošlosti tvrdio: “Za kreiranje vašeg sigurnog računa e-pošte nisu potrebni nikakvi osobni podaci. Prema zadanim postavkama, ne čuvamo nikakve IP zapise koji se mogu povezati s vašim anonimnim računom e-pošte. Vaša privatnost je na prvom mjestu.” I od TechCrunch prvi put izvijestio da je tvrtka podijelila jednu od osjetljivih informacija svojih korisnika s organima za provođenje, neki korisnici ProtonMaila počinju se pitati je li takozvani 'anonimni' davatelj e-pošte dvoličan u svojim tvrdnjama da privatnost korisnika stavlja na prvo mjesto.

Korisnici mogu biti frustrirani ProtonMailom koliko god žele, ali sukladnost tvrtke sa švicarskim vlastima nije u rukama tvrtke, navodi Matthieu Audibert , cyber stručnjak koji radi za francusku policiju.


'Vidim da su ljudi koji su uznemireni odgovorili na ProtonMail, ali to je zato što je švicarski sud smatrao zahtjev valjanim i zato što je zločin doista počinjen u Francuskoj', rekao je Audibert.

No, još uvijek je nejasno je li ProtonMail bio neiskren u pogledu svojih politika privatnosti. Sada kada je na udaru zbog dijeljenja informacija o IP adresi s vlastima, tvrtka je počela mijenjati neke od svojih marketinških materijala; Tvrtka je posljednjih dana izbrisala tvrdnju da ne čuvaju IP zapise sa svoje web stranice.

'Ako kršite švicarski zakon, ProtonMail može biti zakonski prisiljen prijaviti vašu IP adresu kao dio švicarske kaznene istrage', sada stoji u politici privatnosti tvrtke - ali u odjeljku s oznakom 'Anonimno', web stranica tvrtke i dalje tvrdi da, 'Za razliku od konkurentskih usluga e-pošte, mi vas ne pratimo.'

Ono što ljudi često propuštaju prilikom prijavljivanja za usluge poput ProtonMaila jest prati li tvrtka metapodatke, kao što su IP adrese, ili sadržaj e-pošte, kaže direktorica kibernetičke sigurnosti Electronic Frontier Foundation Eva Galperin.


Podaci o korisnicima koje tvrtka može podijeliti sa švicarskim tijelima uključuju adresu e-pošte, retke predmeta e-pošte, adrese e-pošte pošiljatelja ili primatelja, vrijeme posljednje prijave i IP adrese dolaznih poruka, u skladu s politikom ProtonMaila.

“Privatnost i sigurnost nisu neka vrsta čarobnog štapića u kojem samo koristite prave alate i mašete štapićem uokolo, a sve je sigurno i privatno ‘zauvijek, amen’”, rekao je Galperin za Daily Beast.

Međutim, kao end-to-end davatelj šifrirane e-pošte, ProtonMail ne može dijeliti sadržaj e-pošte s organima za provođenje zakona.

Enkripcija od kraja do kraja neće uvijek zaštititi sadržaj e-pošte u slučajevima kada primatelji snime zaslon ili prosljeđuju e-poštu drugim stranama, naravno. Enkripcija od kraja do kraja – i njezina sposobnost da korisničke poruke zadrži potpuno privatnim – dobra je samo onoliko koliko imaju povjerenje korisnika u druge ljude s kojima komuniciraju, upozoravaju sigurnosni stručnjaci.


Ostali end-to-end kriptirani davatelji usluga počinju se nadmetati. Proširivanje istine u marketinškim materijalima o privatnosti ni u kojem slučaju nije od pomoći, upozorava popularni davatelj end-to-end šifrirane e-pošte Tutanota.

'Usluge usmjerene na privatnost moraju biti vrlo precizne kada je u pitanju marketing, posebno da ne pretjeraju sa svojim obećanjima', rekla je voditeljica marketinga Tutanote, Hanna Bozakov, za Daily Beast. “Zato po našem mišljenju privatnost i sigurnost idu ruku pod ruku s transparentnošću. Kao usluga usmjerena na privatnost, morate biti vrlo transparentni, osobito kada stvari krenu po zlu.”

Iako je ProtonMail uvijek jasno davao do znanja da je tvrtka sa sjedištem u Švicarskoj i da će odgovoriti na sudske naloge, njegovo oglašavanje o privatnosti nije uspjelo, rekao je Galperin.

'Ako pogledate marketing i oglašavanje ProtonMaila, vidjet ćete da se oglašavaju kao e-mail servis koji štiti privatnost... oni čine vrlo veliku stvar od činjenice da ne bilježe IP-ove', rekao je Galperin za Daily Beast .

Ostale brige su na pretek. ProtonMail stoji u priopćenju o incidentu da je 'jedini zakon koji je važan švicarski zakon' - izjava koja nije u potpunosti istinita. Švicarske vlasti očito surađuju s drugim vladama, kao što je prikazano u ovom slučaju.

Galperin je rekao da, kada odlučuju o davatelju usluga e-pošte, platformi za razmjenu poruka ili VPN-u, ljudi trebaju razmotriti koje su rizike spremni poduzeti - i trebaju uzeti u obzir činjenicu da vlade međusobno surađuju.

“Vrlo je važno razumjeti da neke vlade surađuju s drugim vladama”, rekao je Galperin za The Daily Beast. 'Ako koristite uslugu za koju znate da ne odgovara na sudske naloge određene vlade, a zabrinuti ste zbog sudskih naloga određene vlade, onda je to sigurno mjesto za vaš model prijetnje.'

ProtonMail je odbio komentirati ovu priču.

ProtonMail nije stranac za alate koji korisnicima pomažu u izbjegavanju praćenja. Tvrtka omogućuje korisnicima korištenje Tor za pristup svojim ProtonMail računima i eventualno izbjegavanje nadzora. Tvrtka također ima VPN uslugu koja može maskirati IP adrese korisnika. Da je klimatski aktivist iskoristio te alate, možda ih ne bi otkrili i uhitili.

“Ovaj određeni korisnik nikada ne bi bio deanonimiziran da su se uvijek prijavljivali na svoj račun koristeći Tor”, teoretizirao je Galperin za The Daily Beast.

ProtonMail također rješava neke od zahtjeva švicarskih vlasti i osporava ih. Samo prošle godine tvrtka je osporila 750 zahtjeva, prema brojkama koje je tvrtka navela u a izvješće o transparentnosti.

Ovo gotovo sigurno nije kraj ovakvih incidenata, tvrdi Tresorit, još jedna švicarska end-to-end šifrirana platforma. Vjerojatno će broj ovakvih incidenata – u kojima pružatelji usluga dijele informacije o korisnicima s organima za provođenje zakona – samo rasti u narednim mjesecima, kaže Gyorgy Szilagyi, direktor proizvoda u Tresoritu.

'Kako, na sreću, sve više ljudi prelazi na end-to-end šifrirane usluge kako bi zaštitili svoje podatke, raste i broj zahtjeva za provođenje zakona tim uslugama', rekao je Szilagyi za Daily Beast. 'Budući da ove usluge nisu u stanju predati sadržaj, metapodaci će biti još važniji.'

Vijest dolazi u vrijeme kada su vladini dužnosnici diljem svijeta tražili različite načine kako nadmašiti pružatelje end-to-end enkripcije i degradirati enkripciju. Tijela za provođenje zakona godinama traže uklanjanje end-to-end enkripcije, tvrdeći da to ometa njihove istrage o kriminalcima.

'End to end enkripcija je još uvijek pod napadom... Svaki dan vidimo nove prijedloge koji pokušavaju izvršiti pritisak na platforme koje pružaju end-to-end šifriranu komunikaciju i dopuštaju backdoor za provođenje zakona', rekao je Galperin. “Ali vrlo je važno oduprijeti se tim pritiscima za stvaranje backdoor-a, jer... kada stvorite taj backdoor, mogu ga pronaći i naći će ga ljudi za koje ne želite da ga koriste. Ne možete poništiti taj backdoor nakon što je već tamo. Rizik od zlostavljanja je vrlo visok.”