Швейцарский сервис якобы полностью защищенной (от кого защищенной? прим.ПН14) почты ProtonMail легко сдал французским властям IP‑адрес местного активиста из‑за сквотирования помещений в Париже.
Швейцарский сервис защищенной электронной почты ProtonMail передал полиции данные об одном из своих пользователей, подчинившись требованию властей страны после запроса о сотрудничестве в рамках расследования во Франции. Об этом сообщает TechCrunch.
В течение последнего года некая группа «Молодежь за климат» провела несколько резонансных захватов коммерческих помещений и квартир рядом с площадью Сент-Март в Париже в знак протеста против джентрификации, сдачи квартир через сервис Airbnb и законопроекта «О глобальной безопасности». Самой заметной целью активистов стал ресторан Le Petit Cambodge, на посетителей которого в 2015 году в числе других парижских заведений нападали террористы.
В занятые активистами помещения вызывали полицию, происходили выселения и конфликты, и силовики занялись разработкой группы.
«Выяснилось, что коллектив «Молодежь за климат» и аффилированные с ним лица общались через защищенный адрес электронной почты по адресу jmm18@protonmail.com, — говорится в одном из полицейских документов, которые процитировал 1 сентября сайт Paris-luttes. — По каналам Европола швейцарской компании, управляющей сервисом, был направлен запрос с целью выяснить личность владельца аккаунта. <...> Компания ProtonMail ответила на запрос, предоставив только IP-адрес».
Дальнейшее расследование проводилось по большей части путем изучения инстаграм-сторис и данных геолокации, полученных от сотовых операторов, однако сам факт передачи информации о пользователе ProtonMail стал поводом для скандала, хотя из сообщений не ясно, дал ли IP-адрес конкретные наводки для следствия.
2 сентября стало известно, что ProtonMail предоставил следующую информацию: дату создания аккаунта, IP-адрес и данные о пользовательском устройстве. При этом на сайте сервиса было указано, что логирование IP-адресов в постоянном режиме не ведется.
Основатель ProtonMail Энди Йен ответил в твиттере, что компания «должна соблюдать швейцарское законодательство», и обещание защищать конфиденциальность пользовательских данных может быть нарушено в случае совершения преступления. При этом глава Proton отказался ответить на вопрос, когда пользователь был уведомлен об интересе властей к его аккаунту: на сайте ProtonMail говорится, что компания всегда сообщает о таких случаях клиентам, но иногда такое уведомление может быть сделано с задержкой.
Таких объяснений оказалось недостаточно, и вскоре вышло более подробное заявление: компания Proton «получила юридически обязывающее распоряжение от швейцарских властей», которое невозможно было обжаловать и которое «пришло по каналам, обычно использующимся в серьезных случаях».
В Proton подчеркнули, что почтовый ящик каждого пользователя зашифрован и не может быть вскрыт даже по распоряжению швейцарских властей, равно как и трафик сервиса ProtonVPN, а также объявили, что поменяют формулировки на сайте, чтобы отразить свою обязанность выполнять некоторые требования властей.
В компании добавляют, что «согласно швейцарскому законодательству, Proton могут принудить к сбору данных об аккаунтах пользователей, в отношении которых ведется уголовное расследование». «Очевидно, что так делается не по умолчанию, а только если Proton получает юридически обязывающий документ по поводу конкретного аккаунта».