„Защитен“ доставчик на имейл ProtonMail предаде потребителските данни на правоприлагащите органи

Политика


„Защитен“ доставчик на имейл ProtonMail предаде потребителските данни на правоприлагащите органи

Експертите по поверителност го смятат за един от най-сигурните доставчици на електронна поща в интернет, но неотдавнашното решение на ProtonMail да предаде чувствителна клиентска информация на европейските правоприлагащи органи повдига въпроси дали твърденията на компанията за поверителност са по-малко обещаващи и повече миражни.

След като френските правоприлагащи органи поискаха – чрез Европол – швейцарските власти да споделят IP адреса на активист за климата, доставчикът на криптирана електронна поща от край до край ProtonMail сподели информацията на потребителя. (Базираната в Швейцария ProtonMail не е обект на френска или юрисдикция на ЕС, но ProtonMail е задължен да отговаря на швейцарските власти.)


Френската полиция се натъкна на имейл адреса в хода на разследване на група, която протестира срещу джентрификацията в модерен квартал на Париж от края на 2020 г. и иска да знае кой стои зад нея, според местни новинарски източници. Разследването доведе до поредица арести на място.

„Протон трябва да спазва швейцарското законодателство. Веднага след като бъде извършено престъпление, защитата на поверителността може да бъде преустановена и според швейцарското законодателство сме задължени да отговаряме на искания от швейцарските власти“, основателят на ProtonMail Анди Йен туитира .

Но на своя сайт ProtonMail твърдеше в миналото, че „Не се изисква лична информация, за да създадете вашия защитен имейл акаунт. По подразбиране ние не съхраняваме никакви IP регистрационни файлове, които могат да бъдат свързани с вашия анонимен имейл акаунт. Вашата поверителност е на първо място.” И тъй като TechCrunch за първи път съобщи, че компанията е споделила чувствителна информация на своите потребители с правоприлагащите органи, някои потребители на ProtonMail започват да се питат дали така нареченият „анонимен“ доставчик на имейл е бил двуличен в твърденията си, че поставя поверителността на потребителите на първо място.

Потребителите могат да бъдат разочаровани от ProtonMail колкото си искат, но съответствието на компанията с швейцарските власти е извън ръцете на компанията, според Матю Одиберт , кибер експерт, работещ за френските правоприлагащи органи.


„Виждам, че хората, които са разстроени, ProtonMail отговориха, но това е защото швейцарският съд счете искането за валидно и защото във Франция наистина е извършено престъпление“, каза Аудибърт.

Но все още не е ясно дали ProtonMail е бил неискрен относно своите политики за поверителност. Сега, когато е под критика за споделяне на информация за IP адрес с властите, компанията започна да променя някои от своите маркетингови материали; през последните дни компанията изтри твърдението, че не пазят IP логове от уебсайта си.

„Ако нарушавате швейцарското законодателство, ProtonMail може да бъде законно принуден да регистрира вашия IP адрес като част от швейцарско наказателно разследване“, сега гласи политиката за поверителност на компанията, но в раздел, озаглавен „Анонимен“, уебсайтът на компанията все още твърди, че, „За разлика от конкурентните имейл услуги, ние не ви проследяваме.“

Това, което хората често пропускат, когато се регистрират за услуги като ProtonMail, е дали компанията следи метаданни, като IP адреси или съдържанието на имейли, според директора по киберсигурност на Electronic Frontier Foundation Ева Галперин.


Потребителската информация, която компанията може да сподели с швейцарските власти, включва имейл адрес, редове за тема на имейла, имейл адреси на подателя или получателя, времето за последно влизане и IP адресите на входящите съобщения, съгласно политиката на ProtonMail.

„Поверителността и сигурността не са някаква магическа пръчка, при която просто използвате правилните инструменти и размахвате пръчката наоколо и всичко е сигурно и лично „завинаги и завинаги, амин“,“ каза Галперин пред The ​​Daily Beast.

Като доставчик на криптирана електронна поща от край до край обаче, ProtonMail не може да споделя съдържанието на имейлите с правоприлагащите органи.

Шифроването от край до край не винаги ще защити съдържанието на имейлите в случаите, когато получателите снимат екрана или препращат имейли на други страни, разбира се. Шифроването от край до край – и способността му да запази потребителските съобщения напълно поверителни – е толкова добро, колкото доверието на потребителите имат към другите хора, с които общуват, предупреждават експерти по сигурността.


Други доставчици на криптирани услуги от край до край започват да натежават на шума. Разтягането на истината в маркетинговите материали за поверителността в никакъв случай не е полезно, предупреждава популярният доставчик на криптирана имейл от край до край Tutanota.

„Услугите, фокусирани върху поверителността, трябва да бъдат много прецизни, когато става въпрос за маркетинг, особено за да не надценяват обещанията си“, каза ръководителят на маркетинга на Tutanota Хана Бозаков пред The ​​Daily Beast. „Ето защо според нас поверителността и сигурността вървят ръка за ръка с прозрачността. Като услуга, фокусирана върху поверителността, трябва да сте много прозрачни, особено когато нещата се объркат.

Въпреки че ProtonMail винаги е давал да се разбере, че е базирана в Швейцария компания и че ще отговаря на съдебни заповеди, нейната реклама относно поверителността е неуспешна, каза Галперин.

„Ако погледнете маркетинга и рекламата на ProtonMail, ще видите, че те се рекламират като пощенска услуга, защитаваща поверителността... те правят много голяма работа от факта, че не регистрират IP адреси“, каза Галперин пред The ​​Daily Beast .

Други опасения изобилстват. ProtonMail се казва в изявление относно инцидента, че „единственият закон, който има значение, е швейцарският закон“ – твърдение, което не е напълно вярно. Швейцарските власти очевидно работят с други правителства, както е показано в този случай.

Галперин каза, че когато решават за доставчик на имейл услуги, платформа за съобщения или VPN, хората трябва да преценят какви рискове са готови да поемат - и трябва да вземат предвид факта, че правителствата си сътрудничат помежду си.

„Много е важно да се разбере, че някои правителства си сътрудничат с други правителства“, каза Галперин пред The ​​Daily Beast. „Ако използвате услуга, за която знаете, че не отговаря на съдебни разпореждания от определено правителство и сте загрижени за съдебни заповеди от конкретно правителство, тогава това е безопасно място за вашия модел на заплаха.

ProtonMail отказа да коментира тази история.

ProtonMail не е непознат за инструментите, които помагат на потребителите да избягват наблюдението. Компанията позволява на клиентите да използват Tor за достъп до своите акаунти в ProtonMail и евентуално да избягват всякакво наблюдение. Компанията също има VPN услуга, която може да маскира IP адресите на потребителите. Ако климатичният активист се беше възползвал от тези инструменти, те може да не са били открити и арестувани.

„Този ​​конкретен потребител никога нямаше да бъде деанонимизиран, ако винаги беше влизал в акаунта си с Tor“, теоретизира Галперин пред The ​​Daily Beast.

ProtonMail също се справя с някои от исканията на швейцарските власти и ги оспорва. Само миналата година компанията е оспорила 750 искания, според цифрите, които компанията е посочена в а доклад за прозрачност.

Това почти сигурно не е краят на този вид инциденти, според Tresorit, друга швейцарска криптирана платформа от край до край. Вероятно броят на тези видове инциденти – при които доставчиците споделят информация за потребителите с правоприлагащите органи – ще нарасне само през следващите месеци, според Gyorgy Szilagyi, главен продуктов директор в Tresorit.

„Тъй като за щастие все повече хора преминават към криптирани услуги от край до край, за да защитят своите данни, броят на исканията на правоприлагащите органи към тези услуги също нараства“, каза Силаги пред The ​​Daily Beast. „Тъй като тези услуги не са в състояние да предадат съдържание, метаданните ще бъдат още по-важни.“

Новината идва в момент, когато правителствени служители по целия свят търсят различни начини да победят доставчиците на криптиране от край до край и да влошат криптирането. Правоприлагащите органи настояват от години за премахване на криптирането от край до край, като твърдят, че то пречи на разследванията им на престъпници.

„Криптирането от край до край все още е атакувано… Всеки ден виждаме нови предложения, които се опитват да оказват натиск върху платформите, които предоставят криптирани комуникации от край до край и да позволят бекдори за правоприлагането“, каза Галперин. „Но е много важно да се противопоставите на този натиск за създаване на бекдори, защото... след като създадете този бекдор, той може и ще бъде намерен от хора, които не искате да го използват. Не можете да премахнете тази задна врата, след като вече е там. Рискът от злоупотреба е много висок.”