Protonmail мусорнулся Protonmail сдал своих пользователей-активистов властям Франции
ProtonMail предоставил данные о дате создания аккаунта, связанных с ним IP-адресах и устройствах, с которых осуществлялся вход в аккаунт.
ProtonMail раскрыл IP-адреса ряда своих французских пользователей, связанных с «зеленым» движением Youth for Climate. Данные были предоставлены по запросу властей Франции, после чего эти пользователи оказались под арестом. Об этом сообщает TechCrunch.
Между тем в политике конфиденциальности ProtonMail говорится, что компания «по умолчанию не ведет журналы IP», а «для создания защищенной учетной записи электронной почты не требуется никакой личной информации».
В ProtonMail пояснили, что IP-адреса всё же собираются, «но не по умолчанию», а согласно законодательству Швейцарии, где расположены штаб-квартира и серверы компании-владельца сервиса. Запрос на раскрытие данных, связанных с почтовым аккаунтом, через который общались активисты, был направлен Францией в Европол, а оттуда – в Швейцарию, которая и потребовала передать эту информацию.
Под давлением властей Швейцарии ProtonMail предоставил данные о дате создания аккаунта, связанных с ним IP-адресах и устройствах, с которых осуществлялся вход в аккаунт.
После предоставления запрошенных данных французские власти арестовали участников Youth for Climate.
Стало известно, что почтовый сервис с повышенным уровнем конфиденциальности ProtonMail раскрыл швейцарским властям IP-адреса некоторых своих французских пользователей, которые связаны с «зелёным» движением Youth for Climate, что привело к серии арестов. Ранее сервис неоднократно заявлял, что не собирает пользовательские IP-адреса и обеспечивает высокий уровень защиты личных данных.
Речь идёт об инциденте, который затрагивает несколько членов организации Youth for Climate из Франции, которые использовали ProtonMail в своей деятельности. Сама же организация, по имеющимся данным, создана для борьбы с климатическими изменениями. Члены организации, которые привлекли внимание властей, должны были организовать на территории Франции «климатические лагеря» в 2020 и 2021 годах. Что именно заинтересовало правоохранителей в их действиях, на данный момент неизвестно.
Источник говорит, что ProtonMail пришлось раскрыть данные пользователей под давлением швейцарских властей. Однако это не спасло сервис от негодующих пользователей, которые недовольны таким положением дел. У многих вызвало удивление, что сервис собирает IP-адреса, поскольку в прошлом компания неоднократно заявляла, что по умолчанию эти данные не фиксируются. Основатель и генеральный директор ProtonMail Энди Йен (Andy Yen) заявил, что сервис начал регистрировать IP-адреса конкретных пользователей по запросу швейцарских властей.
Несмотря на такие объяснения, пользователи, вероятно, останутся недовольны маркетингом сервиса, скрывающим юридические тонкости касательно деятельности по сбору данных пользователей. Конечно, базирующийся в Швейцарии ProtonMail не освобождён от необходимости соблюдать местные законы даже если он обещает пользователям конфиденциальность. Однако в такой ситуации сервис должен разъяснить пользователям тонкости работы, особенно для обладателей платных аккаунтов.
Разъяснения касательно данного инцидента появились в официальном блоге ProtonMail:
Ни при каких обстоятельствах нельзя обойти наше шифрование, а значит, электронные письма, вложения, календари, файлы и др. не могут быть скомпрометированы юридическими предписаниями. ProtonMail не передаёт данные иностранным правительствам; это незаконно в соответствии со статьёй 271 Уголовного кодекса Швейцарии. Мы выполняем только юридические предписания швейцарских властей. Швейцарские власти одобряют только те запросы, которые соответствуют швейцарским правовым нормам (единственный закон, который имеет значение — это швейцарский закон). Прозрачность в отношениях с нашим сообществом чрезвычайно важна для нас. С 2015 года мы публикуем отчёт о прозрачности, в котором рассказываем, как мы обрабатываем запросы швейцарских правоохранительных органов. Согласно швейцарскому законодательству, пользователь обязательно должен быть уведомлён, если третья сторона делает запрос на доступ к его личным данным, и эти данные будут использоваться в уголовном процессе. Согласно швейцарскому законодательству, электронная почта и VPN регулируются по-разному, и ProtonVPN не может быть принуждён к регистрации данных пользователей. В связи со строгой конфиденциальностью пользователей Proton мы не знаем личности наших пользователей, и нам не было известно, что целевые пользователи являются активистами климатического движения. Нам известно лишь то, что запрос швейцарского правительства поступил по каналам, которые обычно предназначены для расследования серьёзных преступлений. Не было никакой юридической возможности сопротивляться или бороться с этим конкретным запросом.
Компания также отметила, что внесёт обновления в опубликованную на сайте политику, чтобы лучше разъяснить обязательства ProtonMail в случае уголовного преследования, и принесла извинения, что прежде это было не разъяснено. Было ещё раз отмечено, что будучи швейцарской компанией, ProtonMail должна следовать швейцарским законам. И компания пообещала обновить политику конфиденциальности, чтобы сделать более понятными её юридические обязательства в соответствие со швейцарским законодательством.
>>254184651 https://www.reddit.com/r/ProtonMail/comments/pil6xi/climate_activist_arrested_after_protonmail/ >Hi everyone, Proton team here. We are also deeply concerned about this case. In the interest of transparency, here's some more context. In this case, Proton received a legally binding order from the Swiss Federal Department of Justice which we are obligated to comply with. There was no possibility to appeal or fight this particular request because an act contrary to Swiss law did in fact take place (and this was also the final determination of the Federal Department of Justice which does a legal review of each case).
Transparency with the user community is extremely important to us and we have been publishing a transparency report since 2015.
As detailed in our transparency report, our published threat model, and also our privacy policy, under Swiss law, Proton can be forced to collect info on accounts belonging to users under Swiss criminal investigation. This is obviously not done by default, but only if Proton gets a legal order for a specific account. Under no circumstances however, can our encryption be bypassed, meaning emails, attachments, calendars, files, etc, cannot be compromised by legal orders.
What does this mean for users?
First, unlike other providers, ProtonMail does fight on behalf of users. Few people know this (it's in our transparency report), but we actually fought over 700 cases in 2020 alone, which is a huge amount. This particular case however could not be fought.
Second, ProtonMail is one of the only email providers that provides a Tor onion site for anonymous access. This allows users to connect to ProtonMail through the Tor anonymity network. You can find more information here: protonmail.com/tor
Third, no matter what service you use, unless it is based 15 miles offshore in international waters, the company will have to comply with the law. This case does illustrate one benefit of ProtonMail's Swiss jurisdiction, as no less than 3 authorities in 2 countries were required to approve the request, which is a much higher bar than most other jurisdictions. Under Swiss law, it is also obligatory for the suspect to be notified that their data was requested.
The prosecution in this case seems quite aggressive. Unfortunately, this is a pattern we have increasingly seen in recent years around the world (for example in France where terror laws are inappropriately used). We will continue to campaign against such laws and abuses.
432 more replies User avatar level 1 mdsjack · 5d Starry
It is technically impossible for ProtonMail to have zero knowledge of users IP. It is clearly stated in their privacy policy that they don't log IP addresses. It's also stated that they have to comply with the law and this means they may start logging and handing over data collected after receiving a court order. If you are interested in anonimity you should use a VPN. I would be more concerned to discover that PM might hand over ProtonVpn logs of user browsing. (excuse my English) 221 User avatar level 2 Tesnatic · 5d
Exactly. No matter what service you use, your IP will be visible in some sort of way. That's basic networking, and is the only way it can function (it needs to know where to send the packets!). If you want full anonymity, you need to change the IP, which is usually done with a VPN (and TOR).
Here's an example of why you should not use protonmail:
Let's say you live in China. You write some criticism towards the Chinese government online. You get charged for "hate speech" in China. China will make a request to our friendly department of justice in Switzerland and ask them to issue an order for ProtonMail to expose the data of that certain user. "Hate speech" is considered a crime in Switzerland as well, so the department of justice will happily issue an order to PM.
No one in Switzerland is going to do a research, if the "crime" committed by a Chinese citizen would have been considered a "hate speech" under the same circumstances in Switzerland.
>>254184029 (OP) Вы какие-то странные. А что, были альтернативы? Приходят копы и говорят сдайте своих пользователей, а те такие "нет, иди нахуй". И тут же их сажают парашу, а дальше справляются силами своих специалистов.
>>254185140 >он раскрыл время отправки сообщения. что хочешь сказать? Что кто-то пиздит что не сливает никакую инфу. Каким образом они понимали что в это сообщении тоже интересный вопрос. >Я из "Белоруссии". >другие это что? В crypt Блядь вы единственные кому не похуй как их страну называют Белорусский Федеральный округ
ты путаешь шифроблядков с сойбоями от айти которые ВЕРЯТ что публичная прослойка между ними и товарищем майором не сдаст их тщю майору при появлении вопросов. Магическое мышление лул
Пользуюсь почтой от Яндекса. Все устраивает. Напомните, почему нормальный человек должен пользоваться какой-то хуйней от протона? Сноудены дохуя я смотрю.
я не понял. если компания не знает, что пишут пользователи и так далее, мол все зашифровано и все дела. то как они раскрыли и узнали именно сторонников данного движения? как они их вообще нашли тогда? что-то обосрамс какой-то
>>254193754 Да блядь, ебучие дети вк, так работает симметричная криптография в любом случае. Объясняю на пальцах: любая инфа зашифрована, но ключ всё равно должен как-то передаваться между пользователями. Поэтому всё что работает на симметричной криптографии да-да, даже твой пиздецки анонимный телеграм безопасно покуда разработчиков не взяли за жопу.
>>254193985 так как они обработали ворох инфы и нашли именно тех людей, которых надо было раскрыть? значит они чекают всю инфу получается. и что порекомендуешь тогда для защиты? а что значит тогда сквозное шифрование?
>>254194285 >что порекомендуешь тогда для защиты? Очевидную ассиметричную криптографию. Самый популярный вариант - PGP >а что значит тогда сквозное шифрование? Сквозное шифрование (также оконечное шифрование; англ. end-to-end encryption) — способ передачи данных, в котором только пользователи, участвующие в общении, имеют доступ к сообщениям. Звучит как хуйня, которая точно так же как протон и телега держится на честном слове разрабов
>>254184029 (OP) > европомойка А что удивительного? Урок такой: хостите свое дерьмо, на которое кто-то может обидеться в сша. Ни перед кем не отвечают, майоры могут прийти разве что фэбээровские, если какой-то дебс про планируемый скулшутинг распизделся.
>>254194505 >Сквозное шифрование (также оконечное шифрование; англ. end-to-end encryption) — способ передачи данных, в котором только пользователи, участвующие в общении, имеют доступ к сообщениям. >Звучит как хуйня, которая точно так же как протон и телега держится на честном слове разрабов ну а как там история с ключами идет? ка они передаются и как вообще на пальцах это работает?
>>254194568 >Урок такой: хостите свое дерьмо, на которое кто-то может обидеться в сша. Ни перед кем не отвечают, майоры могут прийти разве что фэбээровские Один совет охуительнее другого. Про клуб 5/9/14 глаз вам в школе не рассказывают, да?
>>254194709 Есть твой публичный ключ - его можно показывать всем. С его помошью тебе могут только зашифровать сообщение. Есть приватный ключ, с помощью него можно расшифровать все сообщения, зашифрованые публичным ключём. Он хранится только у тебя. Получить приватный ключ исходя из публичного - пиздец длительная затея на пару миллиардов лет.
Очевидно, что эта, якобы, модная хайповая анонимно-секьюрная параша, для соевых додиков - полная хуйня. Нужно быть полным долбаёбом, чтобы полагаться на анонимность хоть каких-то коммерческих сервисов, которые находятся в правовом регулировании по-умолчанию. Те, кто действительно соображает, ведут переписки в дидовских жабберах с крипотплагином.
>>254184029 (OP) 1.Пиздёж пидараший. 2. Из оригинала нет сведений об важных утечках, содержимого, и конечно же никак не использовались. 3.Иди хуйлу переписку слей, у мизулиной жесткие на чиа переключены.
>>254184029 (OP) Любому нормальному человеку была понятна зашкварность данного сервиса. Так как нет возможности создать почту без номера телефона или другой почты. И для другой почты не подходят одноразовая почта.