Protonmail avslöjade användares IP-adresser
INTEGRITET • Det schweiziska företaget som erbjuder den krypterade e-posttjänsten Protonmail har delat information om klimataktivisters IP-adresser till franska myndigheter.
Protonmail är förmodligen den populäraste gratistjänsten för krypterad e-post idag, med över 50 miljoner användare världen över.
Tjänsten ägs av det schweiziska företaget Proton Technologies AG, som är baserat i Geneve.
På sin hemsida skriver Protonmail bland annat att man inte loggar användares IP-adresser och att man sätter användares integritet först:
No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account. Your privacy comes first.
Trots detta valde företaget nyligen att lämna ut IP-adresser till franska myndigheter, rörande användare från en grupp som kallar sig ”Youth for Climate”. Gruppen består av individer som tror att jorden kommer att gå under på grund av klimatförändringar enligt samma filosofi som den svenska klimataktivisten Greta Thunberg.
"Vi måste följa schweizisk lag"
Enligt ett blogginlägg som publicerats på Protonmails hemsida den 6 september måste man, på begäran av schweiziska myndigheter, logga användares IP-adresser om de misstänks för handlingar som är brottsliga i Schweiz.
I det här fallet kom begäran från Schweiz justitiedepartement via Europol och franska myndigheter. Protonmail skriver:
There was no possibility to appeal or fight this particular request because an act contrary to Swiss law did in fact take place (and this was also the final determination of the Federal Department of Justice which does a legal review of each case)
På Twitter beklagar sig Protonmails vd Andy Yen över att man tvingades hörsamma myndigheternas begäran.
”Det är förkastligt att juridiska verktyg mot allvarliga brott används på det här sättet. Men enligt lag måste [Protonmail] samarbeta med schweiziska brottsutredningar. Detta görs förstås inte som standard, utan endast under tvång”, skriver Yen.
Uppdaterar integritetspolicy i efterhand
Efter incidenten har Protonmail valt att uppdatera sin integritetspolicy. Det framgår nu tydligt att Protonmail kan komma att logga användares IP-adress ifall en förfrågan kommer från schweiziska myndigheter:
Som standard sparar vi inte permanenta IP-loggar rörande din användning av våra tjänster. Däremot kan IP-loggar sparas tillfälligt i syfte att bekämpa missbruk och bedrägeri, och din IP-adress kan komma att sparas permanent ifall du är involverad i aktiviteter som bryter mot våra användarvillkor (spammande, DDoS-attacker mot vår infrastruktur, brute force-attacker, etc). Den juridiska grunden för denna process är vårt legitima intresse i att skydda våra tjänster mot skändliga aktiviteter. Ifall du bryter schweizisk lag kan Protonmail tvingas spara din IP-adress som ett led i en schweizisk brottsutredning.
Det senare gäller alltså även ifall andra länders myndigheter utreder dig för brott, så länge man lyckas involvera schweiziska myndigheter i syfte att tvinga Protonmail att lämna över informationen.
Nordfront har varit i kontakt med Robert Eklund, som regelbundet kommenterar IT-säkerhet, integritet- och tekniknyheter i Radio Nordfronts segment Digitalt motstånd.
På fråga ifall man tryggt kan fortsätta att använda Protonmail för krypterad kommunikation med VPN, så att ens IP-adress inte kan loggas, svarar Eklund:
— Förlita dig inte på tjänster från tredje part. Vill du vara säker på internet så är du själv bäste dräng.