ProtonMail nie zapewnia anonimowości. Podał władzy aktywistę na tacy
ProtonMail to usługa, która reklamuje się jako „bezpieczny e-mail” rodem ze Szwajcarii. Mimo to jej użytkownicy wcale nie powinni czuć się bezpiecznie, o czym przekonał się pewien francuski aktywista.
Usługa o nazwie ProtonMail powstała w 2014 r., czyli już po głośnym skandalu wywołanym przez Edwarda Snowdena związanym z ujawnieniem programu inwigilacji na masową skalę. Ta szwajcarska skrzynka e-mail miała zapewnić anonimowość, stała się nagle bardzo pożądanym towarem — nie tylko u przestępców, ale również wśród wszelkiej maści aktywistów będących cierniem w boku państwowych służb.
Problem w tym, że istniejący od ponad siedmiu lat ProtonMail, który chwali się opcją szyfrowania załączników i jest dostępny dla wszystkich zarówno w przeglądarce, jak i na urządzeniach mobilnych, wcale nie jest taki bezpieczny, jak jego użytkownicy mogliby sobie tego życzyć. Okazało się, że usługa przekazała dane jednego z użytkowników organom ścigania.
Informacje przekazane przez ProtonMail doprowadziły do ujęcia francuskiego aktywisty przez służby.
Informację o tym, że Francuzom udało się uzyskać adres IP za pośrednictwem ProtonMaila, ujawniła grupa aktywistów, która zajmuje się walką z gentryfikacją Paryża i spekulacjom na rynku nieruchomości. Wedle opublikowanych przez nią dokumentów, usługa przekazała dane dotyczące konta, w tym nazwę i numer seryjny urządzenia wykorzystywanego przez ściganego użytkownika oraz jego numer IP.
Informacja o tym, że to właśnie ProtonMail przyczynił się do ujęcia aktywisty, nie spodobały się oczywiście użytkownikom tej usługi. Tłumaczenie, iż zostali zobligowani do tego przez prawo, by przekazać dane swoim lokalnym władzom, a to szwajcarskie służby podały dalej zdobyte przez siebie informacje swoim francuskim kolegom po fachu, wielu osób nie uspokoiły.
Francuzi wykorzystali Europol, aby wyciągnąć od ProtonMail adres IP poszukiwanej osoby.
Osoby odpowiedzialne za ProtonMail przekonują, że nie współpracują bezpośrednio ze służbami z innych krajów, w tym z Francuzami, ale przypominają, że są zobowiązani do działania w granicach prawa. Domyślnie nie zbierają więc adresów IP swoich użytkowników, ale może się zdarzyć tak, iż to właśnie lokalne władze będą od nich wymagały tego typu działań.
To nie jest też jednostkowy przypadek, gdy władze wnioskują o przekazanie im danych użytkowników ProtonMail. Liczba takich żądań rośnie z roku na rok lawinowo. Firma stara się walczyć o prywatność swoich klientów i nie w każdym przypadku wyraża zgodę na przekazanie danych, jeśli uzna, że nie ma ku temu podstawy. W przypadku rzeczonego Francuza najwyraźniej tak nie było.
ProtonMail się broni przed krytyką, ale mleko się rozlało.
Tyle dobrego, że usługa nie przekazuje władzom treści wiadomości e-mail (bo te faktycznie są szyfrowane) tylko metadane. Jak pokazuje jednak praktyka, czasem tylko tego typu informacje wystarczą, by ująć ściganą osobę, a nie wszyscy są przekonani, że w tym konkretnym przypadku przesłanka o „ekstremalnej sytuacji kryminalnej”, by zbierać adresy IP, została spełniona.
Osoby, które dalej planują korzystać z ProtonMaila, powinny wyciągnąć z tej sytuacji nauczkę i dodatkowo się zabezpieczyć z użyciem TOR-a albo VPN-a takiego jak np. dodatkowo płatny ProtonVPN. To taki ruch dodatkowo utrudnia odkrycie adresu IP użytkownika, nawet jeśli służby zwrócą się do usługodawcy z prośbą o przekazanie takich danych.
