ProtonMail آدرس IP فعال فرانسوی را پس از سفارش مقامات سوئیسی – TechCrunch وارد کرد

سپتامبر 6, 2021 از 30pp

ProtonMail ، سرویس ایمیل میزبانی شده با تمرکز بر ارتباطات رمزگذاری شده از انتها به انتها ، پس از گزارش پلیس نشان داد که مقامات فرانسوی موفق به دریافت آدرس IP یک فعال فرانسوی شدند که از سرویس آنلاین استفاده می کرد. این شرکت به طور گسترده در مورد این حادثه ارتباط برقرار کرده و اعلام کرده است که آدرس های IP را به طور پیش فرض وارد نمی کند و فقط با مقررات محلی مطابقت دارد – در این مورد قوانین سوئیس. در حالی که ProtonMail با مقامات فرانسوی همکاری نکرد ، پلیس فرانسه درخواستی را از طریق Europol به پلیس سوئیس ارسال کرد تا این شرکت را مجبور به دریافت آدرس IP یکی از کاربران خود کند.

در یک سال گذشته ، گروهی از مردم یک مشت مکان و آپارتمان تجاری را در نزدیکی میدان سنت مارت در پاریس تصرف کردند. آنها می خواهند با جنسیت زدایی ، سوداگری املاک ، Airbnb و رستوران های سطح بالا مبارزه کنند. در حالی که به عنوان یک درگیری محلی آغاز شد ، به سرعت تبدیل به یک کمپین نمادین شد. آنها هنگامی که شروع به اشغال محل های اجاره ای توسط Le Petit Cambodge کردند – عناوین روزنامه ها را جذب کردند – رستورانی که در حملات تروریستی 13 نوامبر 2015 در پاریس هدف قرار گرفت.

در اول سپتامبر ، گروه مقاله ای در Paris-luttes.info ، یک وب سایت خبری ضد سرمایه داری منتشر کرد که در آن خلاصه ای از تحقیقات مختلف پلیس و پرونده های حقوقی علیه برخی از اعضای گروه وجود داشت. طبق داستان آنها ، پلیس فرانسه درخواست Europol را برای ProtonMail ارسال کرد تا هویت شخصی که یک حساب ProtonMail ایجاد کرده است کشف شود – گروه از این آدرس ایمیل برای برقراری ارتباط استفاده می کرد. این آدرس همچنین در وب سایت های مختلف آنارشیستی به اشتراک گذاشته شده است.

روز بعد ،MuArF در توییتر به اشتراک گذاشته شد چکیده ای از گزارش پلیس با جزئیات پاسخ ProtonMail. به گفته MuArF @، گزارش پلیس مربوط به تحقیقات در حال انجام علیه گروهی است که محل های مختلفی را در اطراف میدان سنت مارت اشغال کردند. در آن آمده است که پلیس فرانسه پیامی در مورد Europol دریافت کرده است. آن پیام حاوی جزئیات مربوط به حساب ProtonMail است.

این چیزی است که در گزارش آمده است:

شرکت PROTONMAIL به ما اطلاع می دهد که آدرس ایمیل در… آدرس IP پیوند شده به حساب به شرح زیر است:…

دستگاه مورد استفاده … دستگاهی است که با شماره…

داده های منتقل شده توسط این شرکت به دلیل سیاست حفظ حریم خصوصی PROTONMAIL TECHNOLOGIES محدود به آن است. “

اندی ین ، بنیانگذار و مدیر عامل ProtonMail به گزارش پلیس واکنش نشان داد در توییتر بدون ذکر شرایط خاص آن پرونده به طور خاص. پروتون باید قوانین سوئیس را رعایت کند. به محض ارتکاب جنایت ، حفاظت از حریم خصوصی می تواند به حالت تعلیق درآید و طبق قوانین سوئیس ما باید به درخواست های مقامات سوئیسی پاسخ دهیم. “

اندی ین می خواهد به وضوح نشان دهد که شرکت او با پلیس فرانسه و Europol همکاری نکرده است. به نظر می رسد Europol به عنوان کانال ارتباطی بین مقامات فرانسوی و مقامات سوئیس عمل کرده است. در مقطعی ، مقامات سوئیسی پرونده را به عهده گرفتند و درخواست را مستقیماً به ProtonMail ارسال کردند. این شرکت در گزارش شفافیت خود به این درخواستها به عنوان “درخواستهای خارجی تأیید شده توسط مقامات سوئیسی” اشاره می کند.

پروتون باید قوانین سوئیس را رعایت کند. به محض ارتکاب جنایت ، حفاظت از حریم خصوصی می تواند به حالت تعلیق درآید و ما طبق قوانین سوئیس ملزم به پاسخگویی به درخواست های مقامات سوئیس هستیم.

– اندی ین (andyyen@) 5 سپتامبر 2021

TechCrunch با اندی ین ، بنیانگذار و مدیر عامل ProtonMail تماس گرفت و در مورد این پرونده س questionsال کرد.

یک س keyال کلیدی دقیقاً زمانی است که به دارنده حساب مورد نظر اطلاع داده شد که اطلاعات آنها توسط مقامات سوئیسی درخواست شده است ، زیرا طبق پروتون میل – اعلان طبق قوانین سوئیس الزامی است.

با این حال ، ین به ما گفت که “به دلیل حفظ حریم خصوصی و دلایل قانونی”-او نمی تواند در مورد جزئیات خاص پرونده اظهار نظر کند یا “اطلاعات غیرعلنی در مورد تحقیقات فعال” ارائه دهد ، و افزود: “شما باید این تحقیقات را به اداره مقامات سوئیس. »

در همان زمان ، او ما را به این صفحه عمومی راهنمایی کرد ، جایی که ProtonMail اطلاعاتی را در اختیار مقامات مجری قانون قرار می دهد که از کاربران سرویس ایمیل رمزگذاری شده از انتها به بعد اطلاعاتی را از جمله تنظیم “خط مشی اطلاع رسانی ProtonMail” ارائه می دهند.

در اینجا این شرکت مجدداً تأکید می کند که قانون سوئیس “در صورتی که شخص ثالث درخواست داده های خصوصی خود را داشته باشد و از این داده ها در دادرسی کیفری استفاده شود ، باید به کاربر اطلاع داده شود” – با این حال همچنین اشاره می کند که “در شرایط خاص” یک اطلاع رسانی “می تواند به تأخیر بیفتد”

بر اساس این سیاست ، پروتون می گوید تاخیرها می توانند اعلان ها را تحت تأثیر قرار دهند: یا جایی که “بر اساس اطلاعات ارائه شده توسط مجریان قانون ، ما ، بنا به صلاحدید خود ، معتقدیم که ارائه اخطار می تواند خطر جراحت ، مرگ یا صدمات جبران ناپذیری را برای فرد یا گروه افراد قابل شناسایی ایجاد کند.”

این سیاست اضافه می کند: “با این حال ، به عنوان یک قاعده کلی ، کاربران هدف در نهایت مطلع می شوند و به آنها فرصت داده می شود تا از طریق ProtonMail یا مقامات سوئیسی به درخواست داده اعتراض کنند.”

بنابراین ، در مورد خاص ، به نظر می رسد که ProtonMail یا تحت دستور قانونی بوده است تا اعلان به صاحب حساب را به تأخیر بیندازد – با توجه به آنچه به نظر می رسد بین تحریک ورود به سیستم و افشای آن تا هشت ماه فاصله داشته باشد – یا با ارائه شده است اطلاعات مقامات سوئیس که به این نتیجه رسیدند که تأخیر در اطلاع رسانی برای جلوگیری از خطر “صدمه ، مرگ یا خسارت جبران ناپذیر” به شخص یا اشخاص ضروری است (NB: مشخص نیست که “آسیب جبران ناپذیر” در این زمینه به چه معناست ، و اینکه آیا می توان آن را به صورت تصویری – به عنوان “آسیب” به منافع شخص/گروه ، به عنوان مثال ، مانند تحقیقات جنایی ، نه تنها آسیب جسمی – که سیاست را بسیار گسترده تر می کند ، تفسیر کرد.

در هر دو سناریو ، سطح شفافیت در اختیار افراد سوئیسی قرار می گیرد که دارای الزام اطلاع رسانی اجباری هستند ، هنگامی که داده های شخص درخواست شده است ، به نظر می رسد بسیار محدود است اگر همان مقامات حقوقی ، اساساً ، می توانند اعلان ها را بفهمند – به طور بالقوه برای مدت طولانی (به نظر می رسد بیش از نیمی یک سال در این مورد خاص).

افشای عمومی ProtonMail همچنین باعث افزایش نگران کننده درخواست های مقامات سوئیسی برای داده ها می شود.

بر اساس گزارش شفافیت ، ProtonMail 13 سفارش از مقامات سوئیسی در سال 2017 دریافت کرد – اما این سفارش تا سال 2020 به بیش از سه و نیم هزار (3572!) افزایش یافته بود.

تعداد درخواستهای خارجی از مقامات سوئیسی که در حال تأیید هستند نیز افزایش یافته است ، هرچند نه چندان زیاد – با گزارش ProtonMail که 13 درخواست در سال 2017 دریافت کرده است – در سال 2020 به 195 رسید.

این شرکت می گوید که درخواست های قانونی برای داده های کاربران را رعایت می کند اما همچنین می گوید که در سفارش هایی که معتقد نیست آنها قانونی هستند ، اعتراض می کند. و گزارش آن افزایش سفارشات مورد اعتراض را نشان می دهد – با ProtonMail در سال 2017 با سه سفارش مخالفت کرد ، اما در سال 2020 با 750 درخواست داده ای که دریافت کرده بود ، عقب ماند.

دولت سوئیس تشخیص داد که این پرونده از نظر قانونی طبق قوانین سوئیس مطابقت دارد. متأسفانه در این مورد امکان تجدیدنظر از این حکم وجود نداشت. با این حال ، ما همیشه زمانی که می توانیم می جنگیم (و در سال 2020 ، ما بیش از 700 مورد را به نمایندگی از کاربران مبارزه کردیم).

– اندی ین (andyyen) 6 سپتامبر 2021

طبق سیاست حفظ حریم خصوصی ProtonMail ، اطلاعاتی که می تواند در پاسخ به درخواست معتبر طبق قوانین سوئیس در حساب کاربری ارائه دهد ، ممکن است شامل اطلاعات حساب ارائه شده توسط کاربر (مانند آدرس ایمیل) باشد. فعالیت حساب/فراداده (مانند فرستنده ، آدرس های ایمیل گیرنده ؛ آدرس های IP که پیام های دریافتی از آن نشأت گرفته اند ؛ زمان ارسال و دریافت پیام ها ؛ موضوعات پیام و غیره) ؛ تعداد کل پیام ها ، ذخیره سازی مورد استفاده و آخرین زمان ورود. و پیام های رمزگذاری نشده از ارائه دهندگان خارجی به ProtonMail ارسال می شود. به عنوان ارائه دهنده ایمیل رمزگذاری شده از سر به سر ، نمی تواند داده های ایمیل را رمزگشایی کند ، بنابراین نمی تواند اطلاعات مربوط به محتوای ایمیل را ارائه دهد ، حتی اگر با حکم ارائه شود.

با این حال ، این شرکت در گزارش شفافیت خود ، یک لایه اضافی از جمع آوری داده ها را که ممکن است (از نظر قانونی) موظف به انجام آن باشد ، نشان می دهد – نوشتن: “علاوه بر موارد ذکر شده در خط مشی رازداری ما ، در موارد جنایی شدید ، ProtonMail ممکن است همچنین باید آدرس IP هایی را که برای دسترسی به حساب های ProtonMail که درگیر فعالیت های مجرمانه هستند استفاده می کند.

به طور کلی ، مگر اینکه در 15 مایلی دریایی در آبهای بین المللی مستقر باشید ، نمی توانید از احکام دادگاه چشم پوشی کنید اندی ین

این همان م monitoringلفه نظارت IP است که در حال حاضر چنین نگرانی را در بین مدافعان حریم خصوصی ایجاد کرده است – و انتقاد کوچکی از ادعاهای بازاریابی پروتون به عنوان یک شرکت “حریم خصوصی کاربر” نیست.

این شرکت به دلیل ادعاهای بازاریابی مبنی بر ارائه “ایمیل ناشناس” و همچنین نحوه بیان هشدار در افشای شفافیت خود – که در آن از ورود اطلاعات IP فقط در “پرونده های جنایی شدید” صحبت می کند ، با انتقادات خاصی روبرو شده است.

تعداد کمی موافق هستند که مبارزان مبارزه با جنسیت زدایی با آن نوار برخورد کنند.

در عین حال ، Proton آدرس پیاز را در اختیار کاربران قرار می دهد – به این معنی که فعالان نگران ردیابی می توانند با استفاده از Tor به سرویس ایمیل رمزگذاری شده خود دسترسی پیدا کنند که این امر ردیابی آدرس IP آنها را دشوار می کند. بنابراین ، این ابزار را در اختیار کاربران قرار می دهد تا از خود در برابر نظارت IP محافظت کنند (و همچنین محتویات ایمیل های آنها را در معرض تعرض قرار ندهند) ، حتی اگر خدمات خود را ، در شرایط خاص ، توسط قوانین سوئیس به یک ابزار نظارت IP تبدیل کند. اجرا

در واکنش به افشای ورود IP فعالان فرانسوی ، ین از طریق توییتر گفت که ProtonMail پیوند برجسته تری به آدرس پیاز خود در وب سایت خود ارائه می دهد:

بله ، ما امروز آن را برای پیوند به صفحه Tor خود به روز می کنیم.

– اندی ین (andyyen) 6 سپتامبر 2021

Proton همچنین یک سرویس VPN برای خود ارائه می دهد – و ین ادعا کرده است که قانون سوئیس به آن اجازه نمی دهد آدرس IP کاربران VPN خود را وارد کند. بنابراین جالب است گمانه زنی شود که اگر فعالان می توانستند از ایمیل رمزگذاری شده سر به سر Proton و سرویس VPN آن استفاده کنند ، می توانستند از ورود به سیستم IP جلوگیری کنند…

خیر ، هیچ قانون قانونی برای ورود VPN طبق قوانین فعلی سوئیس وجود ندارد.

– اندی ین (andyyen@) 6 سپتامبر 2021

وقتی ما در این مورد س askedال کردیم ، ین به TechCrunch گفت: “اگر آنها از Tor یا ProtonVPN استفاده می کردند ، ما می توانستیم IP ارائه دهیم ، اما این IP سرور VPN یا IP گره خروجی Tor است.”

وی افزود: “ما در برابر این مدل تهدید از طریق سایت پیاز خود (protonmail.com/tor) محافظت می کنیم.” با این حال ، به طور کلی ، مگر اینکه شما 15 مایل در ساحل در آبهای بین المللی مستقر باشید ، نمی توان از دستورات دادگاه چشم پوشی کرد. “

“سیستم حقوقی سوئیس ، اگرچه کامل نیست ، اما تعدادی از بازرسی ها و موازنه ها را ارائه می دهد ، و شایان ذکر است که حتی در این مورد ، تأیید سه مقام در دو کشور مورد نیاز بود ، و این یک محدوده نسبتاً بالا است که از اکثر (اما نه همه) سوء استفاده از سیستم. “

برخی از افکار در مورد حادثه “فعال آب و هوا” فرانسه. مایه تأسف است که از ابزارهای قانونی برای جرایم جدی در این راه استفاده می شود. اما طبق قانون ، ProtonMail باید با تحقیقات جنایی سوئیس مطابقت داشته باشد. این بدیهی است که به طور پیش فرض انجام نمی شود ، اما تنها در صورت اجبار قانونی.

– اندی ین (andyyen@) 5 سپتامبر 2021

در پاسخ عمومی در Reddit ، پروتون همچنین می نویسد که “عمیقا نگران” این پرونده است – دوباره تأکید می کند که در این مورد قادر به اعتراض به این امر نبوده است.

وی افزود: “تعقیب قضایی در این پرونده کاملاً تهاجمی به نظر می رسد.” متأسفانه ، این الگویی است که ما در سال های اخیر در سراسر جهان به طور فزاینده ای مشاهده کرده ایم (به عنوان مثال در فرانسه که قوانین تروریسم به طور نامناسب استفاده می شود). ما به مبارزه علیه چنین قوانین و سوء استفاده هایی ادامه می دهیم. “

ما به شدت درگیر مبارزه با قوانین ناعادلانه در CH ، ایالات متحده و اتحادیه اروپا هستیم. با این حال ، امتناع از دستورات دولتی غیرممکن است (شما می توانید تعطیل یا زندانی شوید). راه حل از طریق تغییر قوانین از طریق فرایندهای دموکراتیک به دست می آید.

– اندی ین (andyyen) 6 سپتامبر 2021

با بزرگنمایی ، در یکی دیگر از پیشرفت های نگران کننده که می تواند حریم خصوصی کاربران اینترنت در اروپا را تهدید کند ، قانونگذاران اتحادیه اروپا اعلام کردند که می خواهند برای یافتن راه هایی برای دسترسی قانونی به داده های رمزگذاری شده تلاش کنند – حتی اگر آنها به طور همزمان ادعا می کنند از رمزگذاری قوی پشتیبانی می کنند.

باز هم ، فعالان حریم خصوصی نگران هستند.

ProtonMail و تعدادی دیگر از سرویس های رمزگذاری شده از پایان به پایان در نامه ای سرگشاده در ماه ژانویه هشدار دادند که قانون گذاران اتحادیه اروپا در صورت ادامه این مسیر ، منطقه را در مسیر خطرناکی برای رمزگذاری پشت پرده قرار می دهند.