TeamQuest Blog

ProtonMail nie taki bezpieczny jak to głosił

ProtonMail nie taki bezpieczny jak to głosił

Marcin Sarna , 09.09.2021 r.

Serwis usunął ze swojej strony stwierdzenie „nie rejestrujemy twojego IP” po tym, jak korzystający z tej usługi francuski aktywista klimatyczny został aresztowany.

Szwajcarzy działali w ramach pomocy Francuzom

Usługa szyfrowanej poczty elektronicznej ProtonMail stałą się bohaterem skandalu po tym, jak spełniła żądanie szwajcarskiej policji przekazanie adresu IP użytkownika i szczegółów urządzeń, których używał do uzyskania dostępu do swojej skrzynki pocztowej - w wyniku czego użytkownik ten został później aresztowany.

Zgodnie z plotkami z mediów społecznościowych policja szwajcarska wykonywała nakaz uzyskany przez władze francuskie i doręczony ich szwajcarskim odpowiednikom za pośrednictwem Interpolu. Plotki te zostały potem potwierdzone przez dyrektora generalnego ProtonMail Andy’ego Yen.

Działacze już szukają alternatyw

Po tym, jak dane z ProtonMail zostały przekazane szwajcarskiej, a następnie francuskiej policji, autor bloga lewicowych działaczy politycznych we Francji napisał, że celem działań była grupa o nazwie Youth for Climate:

Policja zauważyła, że grupa komunikowała się za pomocą adresu e-mail zapewnianego przez ProtonMail. Wysłała więc wniosek (za pośrednictwem EUROPOLU) do szwajcarskiej firmy zarządzającej tym serwisem, aby poznać tożsamość osoby logującej się na ten adres. ProtonMail odpowiedział na ten wniosek, podając adres IP i informacje o przeglądarce, z której korzystała grupa. Dlatego koniecznym jest przekazywanie połączenia przez sieć tor (lub przynajmniej VPN) podczas korzystania ze skrzynki pocztowej ProtonMail (lub innej bezpiecznej skrzynki pocztowej), jeśli chcesz zagwarantować sobie wystarczające bezpieczeństwo.

Miało być bezpiecznie - tymczasem Policja rozumie jak działa SMTP

ProtonMail twierdził w przeszłości, że nie zbiera danych użytkowników i wdraża szyfrowanie end-to-end i powtórzył to też w ostatni weekend: Nasze szyfrowanie nie może być ominięte w żadnym przypadku, co oznacza, że e-maile, załączniki, kalendarze, pliki itp. nie zostaną naruszone przez nakazy prawne.

To stwierdzenie, choć śmiałe, wydaje się być potwierdzone przez politykę prywatności usługi. Swierdza ona, że może uzyskać dostęp do następujących informacji o użytkowniku:

  • Adresy e-mail nadawcy i odbiorcy
  • Adres IP, z którego pochodzą przychodzące wiadomości
  • Temat wiadomości
  • Czas wysłania i otrzymania wiadomości

Jak każdy administrator doskonale wie, to wszystko są to standardowe, niezaszyfrowane informacje z nagłówków emaili, nieodłącznie związane ze specyfikacją SMTP. Wydaje się więc, że wcześniejsze obietnice ProtonMail o logowaniu informacji o użytkownikach były nieco na wyrost. Jeszcze w styczniu tego roku, na stronie głównej firmy stwierdzono: Żadne dane osobowe nie są wymagane do utworzenia bezpiecznego konta e-mail. Domyślnie nie przechowujemy żadnych logów IP, które mogą być powiązane z Twoim anonimowym kontem e-mail. Twoja prywatność jest najważniejsza.

adres IP

Dzisiaj ta przechwałka jest już zastąpiona mniej buńczucznym stwierdzeniem: ProtonMail to poczta elektroniczna, która szanuje prywatność i stawia ludzi (nie reklamodawców) na pierwszym miejscu. Twoje dane należą do Ciebie, a nasze szyfrowanie to zapewnia. Zapewniamy również anonimową bramkę e-mailową. Z kolei polityka prywatności firmy, która też została zaktualizowana, wyraźnie ostrzega: Jeśli łamiesz szwajcarskie prawo, ProtonMail może być prawnie zmuszony do rejestrowania adresu IP na potrzeby szwajcarskiego dochodzenia karnego.

Stanowisko ProtonMail

W oświadczeniu zamieszczonym na Reddit ProtonMail stwierdził:

W tym przypadku Proton otrzymał prawnie wiążący nakaz od szwajcarskiego Federalnego Departamentu Sprawiedliwości, do którego jesteśmy zobowiązani się zastosować. Nie było możliwości odwołania się lub zwalczania tego konkretnego żądania, ponieważ w rzeczywistości doszło do czynu sprzecznego ze szwajcarskim prawem (i takie było również ostateczne ustalenie Federalnego Departamentu Sprawiedliwości, który dokonuje przeglądu prawnego każdej sprawy).

Jako szwajcarska firma ProtonMail jest zobowiązany do przestrzegania szwajcarskiego prawa i stosowania się do szwajcarskich wymogów prawnych, choć nie jest jasne, dlaczego firma logowała ciągi user-agent i adresy IP logowań klientów. W interfejsie użytkownika ProtonMaila istnieje opcja, aby włączyć rejestrowanie dostępu, ale nie ma żadnych informacji czy aresztowany francuski działacz włączył tę opcję.[/quote]

W dalszych wyjaśnieniach, ProtonMail wyjaśnia, że nie przekazuje danych obcym rządom; jest to nielegalne zgodnie z artykułem 271 szwajcarskiego kodeksu karnego. Stosujemy się jedynie do prawnie wiążących nakazów szwajcarskich władz. Władze szwajcarskie zatwierdzą tylko wnioski, które spełniają szwajcarskie normy prawne.

Przypomnijmy: TeamQuest ostrzegał przed tą usługą już dwa lata temu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej