Blog IT, Blog Marketing

ProtonMail nie taki bezpieczny jak to głosił

ProtonMail nie taki bezpieczny jak to głosił

Marcin Sarna , 09.09.2021 r.

Serwis usunął ze swojej strony stwierdzenie „nie rejestrujemy twojego IP” po tym, jak korzystający z tej usługi francuski aktywista klimatyczny został aresztowany.

Szwajcarzy działali w ramach pomocy Francuzom

Usługa szyfrowanej poczty elektronicznej ProtonMail stałą się bohaterem skandalu po tym, jak spełniła żądanie szwajcarskiej policji przekazanie adresu IP użytkownika i szczegółów urządzeń, których używał do uzyskania dostępu do swojej skrzynki pocztowej - w wyniku czego użytkownik ten został później aresztowany.

Zgodnie z plotkami z mediów społecznościowych policja szwajcarska wykonywała nakaz uzyskany przez władze francuskie i doręczony ich szwajcarskim odpowiednikom za pośrednictwem Interpolu. Plotki te zostały potem potwierdzone przez dyrektora generalnego ProtonMail Andy’ego Yen.

Działacze już szukają alternatyw

Po tym, jak dane z ProtonMail zostały przekazane szwajcarskiej, a następnie francuskiej policji, autor bloga lewicowych działaczy politycznych we Francji napisał, że celem działań była grupa o nazwie Youth for Climate:

Policja zauważyła, że grupa komunikowała się za pomocą adresu e-mail zapewnianego przez ProtonMail. Wysłała więc wniosek (za pośrednictwem EUROPOLU) do szwajcarskiej firmy zarządzającej tym serwisem, aby poznać tożsamość osoby logującej się na ten adres. ProtonMail odpowiedział na ten wniosek, podając adres IP i informacje o przeglądarce, z której korzystała grupa. Dlatego koniecznym jest przekazywanie połączenia przez sieć tor (lub przynajmniej VPN) podczas korzystania ze skrzynki pocztowej ProtonMail (lub innej bezpiecznej skrzynki pocztowej), jeśli chcesz zagwarantować sobie wystarczające bezpieczeństwo.

Key Customer Service Specialist with German language

Poznań
Aplikuj

Head of International Freight Forwarding Department

Cała Polska
Aplikuj

Frontend Engineer (Three.js) 11000 - 13000 PLN

Praca zdalna
Aplikuj

Technical Support Customer Specialist 1400 - 1600 EUR

Ryga
Aplikuj

Medical Equipment Service Engineer 11000 - 13000 PLN

Zalesie Borowe
Aplikuj

Miało być bezpiecznie - tymczasem Policja rozumie jak działa SMTP

ProtonMail twierdził w przeszłości, że nie zbiera danych użytkowników i wdraża szyfrowanie end-to-end i powtórzył to też w ostatni weekend: Nasze szyfrowanie nie może być ominięte w żadnym przypadku, co oznacza, że e-maile, załączniki, kalendarze, pliki itp. nie zostaną naruszone przez nakazy prawne.

To stwierdzenie, choć śmiałe, wydaje się być potwierdzone przez politykę prywatności usługi. Swierdza ona, że może uzyskać dostęp do następujących informacji o użytkowniku:

  • Adresy e-mail nadawcy i odbiorcy
  • Adres IP, z którego pochodzą przychodzące wiadomości
  • Temat wiadomości
  • Czas wysłania i otrzymania wiadomości

Jak każdy administrator doskonale wie, to wszystko są to standardowe, niezaszyfrowane informacje z nagłówków emaili, nieodłącznie związane ze specyfikacją SMTP. Wydaje się więc, że wcześniejsze obietnice ProtonMail o logowaniu informacji o użytkownikach były nieco na wyrost. Jeszcze w styczniu tego roku, na stronie głównej firmy stwierdzono: Żadne dane osobowe nie są wymagane do utworzenia bezpiecznego konta e-mail. Domyślnie nie przechowujemy żadnych logów IP, które mogą być powiązane z Twoim anonimowym kontem e-mail. Twoja prywatność jest najważniejsza.

adres IP

Dzisiaj ta przechwałka jest już zastąpiona mniej buńczucznym stwierdzeniem: ProtonMail to poczta elektroniczna, która szanuje prywatność i stawia ludzi (nie reklamodawców) na pierwszym miejscu. Twoje dane należą do Ciebie, a nasze szyfrowanie to zapewnia. Zapewniamy również anonimową bramkę e-mailową. Z kolei polityka prywatności firmy, która też została zaktualizowana, wyraźnie ostrzega: Jeśli łamiesz szwajcarskie prawo, ProtonMail może być prawnie zmuszony do rejestrowania adresu IP na potrzeby szwajcarskiego dochodzenia karnego.

Stanowisko ProtonMail

W oświadczeniu zamieszczonym na Reddit ProtonMail stwierdził:

W tym przypadku Proton otrzymał prawnie wiążący nakaz od szwajcarskiego Federalnego Departamentu Sprawiedliwości, do którego jesteśmy zobowiązani się zastosować. Nie było możliwości odwołania się lub zwalczania tego konkretnego żądania, ponieważ w rzeczywistości doszło do czynu sprzecznego ze szwajcarskim prawem (i takie było również ostateczne ustalenie Federalnego Departamentu Sprawiedliwości, który dokonuje przeglądu prawnego każdej sprawy).

Jako szwajcarska firma ProtonMail jest zobowiązany do przestrzegania szwajcarskiego prawa i stosowania się do szwajcarskich wymogów prawnych, choć nie jest jasne, dlaczego firma logowała ciągi user-agent i adresy IP logowań klientów. W interfejsie użytkownika ProtonMaila istnieje opcja, aby włączyć rejestrowanie dostępu, ale nie ma żadnych informacji czy aresztowany francuski działacz włączył tę opcję.[/quote]

W dalszych wyjaśnieniach, ProtonMail wyjaśnia, że nie przekazuje danych obcym rządom; jest to nielegalne zgodnie z artykułem 271 szwajcarskiego kodeksu karnego. Stosujemy się jedynie do prawnie wiążących nakazów szwajcarskich władz. Władze szwajcarskie zatwierdzą tylko wnioski, które spełniają szwajcarskie normy prawne.

Przypomnijmy: TeamQuest ostrzegał przed tą usługą już dwa lata temu.

Najnowsze oferty pracy:

Specjalista ds. IT - II Linia Wsparcia - główne technologie

Specjalista ds. IT - II Linia Wsparcia

Umowa o pracę B2B / Kontrakt
Application Security Engineer - główne technologie

Application Security Engineer

Umowa o pracę B2B / Kontrakt
Inżynier bezpieczeństwa aplikacji - główne technologie

Inżynier bezpieczeństwa aplikacji

Umowa o pracę B2B / Kontrakt
Medical Equipment Service Engineer - główne technologie

Medical Equipment Service Engineer

Umowa o pracę B2B / Kontrakt
Inżynier Serwisu Sprzętu Medycznego - główne technologie

Inżynier Serwisu Sprzętu Medycznego

Umowa o pracę B2B / Kontrakt

Polecane wpisy na blogu IT:

Otwarte Oprogramowanie AI: Klucz do Przewagi Europy w Globalnym Wyścigu Technologicznym

Otwarte Oprogramowanie AI: Klucz do Przewagi Europy w Globalnym Wyścigu Technologicznym

Co poszło nie tak? Rynek pracy w IT w 2024 roku

Co poszło nie tak? Rynek pracy w IT w 2024 roku

Przehajpowane. Cztery technologie, które miały zmienić świat

Przehajpowane. Cztery technologie, które miały zmienić świat

Flux zachwycił świat. Superrealistyczne zdjęcia od AI

Flux zachwycił świat. Superrealistyczne zdjęcia od AI

Najpopularniejsze frameworki i narzędzia do testowania

Najpopularniejsze frameworki i narzędzia do testowania

Kobiety w branży IT

Kobiety w branży IT

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej

W czym programujesz?

Popularne stanowiska

Praca w miastach