Proton Mail poskytol údaje používateľov. Prečo?

Ukázalo sa, že predvolené súkromie nie je úplne to isté ako predvolená anonymita.

Spoločnosť Proton Mail čelí opätovným obvineniam z poskytovania údajov používateľov orgánom činným v trestnom konaní. Švajčiarska spoločnosť poskytuje zabezpečenú e-mailovú službu s koncovým šifrovaním, údajne na ochranu identity svojich zákazníkov pred zvedavými očami. Nedávne udalosti však naznačujú niečo iné.

Firma sa nedávno dostala pod drobnohľad, pretože poskytla španielskym orgánom dostatok údajov na identifikáciu a zatknutie člena katalánskej organizácie za nezávislosť Democratic Tsunami. Spoločnosť tvrdila, že bola nútená spolupracovať s orgánmi činnými v trestnom konaní na základe švajčiarskych zákonov. Tvrdila, že úspech španielskej polície pri zadržaní osoby bol čiastočne spôsobený tým, že osoba nemala riadnu politiku operačnej bezpečnosti (OpSec).

Primárnou službou je koncová šifrovaná e-mailová platforma založená v roku 2013. Cieľom je zabezpečiť, aby obsah e-mailov zostal nečitateľný pre tretie strany aj pre samotnú spoločnosť. Hoci Proton Mail tvrdí, že nemá prístup k obsahu správ, niektoré údaje týkajúce sa používateľov, ktoré prechádzajú cez jej servery, by sa potenciálne mohli použiť na identifikáciu osôb.

Pri samostatnom incidente v roku 2021 musela firma poskytnúť švajčiarskym orgánom IP adresu a údaje o zariadení francúzskeho klimatického aktivistu. Tieto informácie následne francúzske orgány použili na zadržanie aktivistu. Spoločnosť objasnila, že hoci je obsah e-mailov šifrovaný, platforma je povinná vyhovieť zákonným požiadavkám na prístup k akýmkoľvek údajom prechádzajúcim cez jej servery v prípadoch trestného stíhania.

V nedávnom prípade, ktorý sa týkal španielskej polície, bola spoločnosť zrejme nútená poskytnúť e-mailovú adresu na obnovu Apple, ktorú používal klient známy ako „Xuxo Rondinaire“. Tento zákazník bol podozrivý zo spolupráce s katalánskou políciou Mossos d’Esquadra, pričom tajne pomáhal hnutiu za nezávislosť v regióne. Úrady si od Applu vyžiadali ďalšie údaje, ktoré im umožnia identifikovať osobu skrývajúcu sa za pseudonymom.

Generálny riaditeľ Proton Andy Jen potvrdil, že osobné údaje použité na zadržanie údajného „teroristu“ poskytol Apple, nie Proton. Yen zdôraznil, že spoločnosť nemôže dešifrovať údaje, ale švajčiarske súdy môžu nariadiť zdieľanie e-mailových adries na zotavenie v „prípadoch terorizmu“. Spoločnosť Proton AG v písomnom vyhlásení objasnila, že jej e-mailová služba uchováva „minimálne informácie o používateľovi“ a nezaručuje úplnú anonymitu.

Zákazníci, ktorí chcú zvýšiť bezpečnosť, by mali zaviesť vhodné opatrenia operačnej bezpečnosti (OpSec), napríklad nepoužívať svoje pravé konto Apple ako voliteľnú metódu obnovy. Hoci adresa na obnovenie nie je pre používanie služby Proton Mail povinná, spoločnosť by mohla byť na základe príkazu švajčiarskeho súdu prinútená tieto informácie zverejniť.

Zdroj