ProtonMail blev tvunget til at frigive en brugers IP-adresse til de schweiziske myndigheder, selvom det havde en god grund. Læs mere om det her.
ProtonMail er en service, der er rost for sit engagement i privatlivets fred. Det er en særlig favorit blandt journalister, da det sikkert kan bruges af whistleblowere og lignende uden frygt for at afsløre deres identitet. Imidlertid blev ProtonMail for nylig tvunget af schweiziske myndigheder til at frigive den IP-adresse, det havde logget på en bruger, selvom det havde en god grund.
For et par måneder siden rejste Ryanairs fly FR4978 fra Athen i Grækenland til Vilnius i Litauen. Flyet blev dog omdirigeret til Minsk lufthavn i Hviderusland, efter at en bombetrussel blev sendt til Minsk National Airport og State Enterprise Lithuanian Airports. Disse e-mails blev sendt fra en ProtonMail-adresse ifølge ICAO's faktaundersøgelse, og det, der er særligt interessant, er, at den IP-adresse, som blev brugt til at oprette kontoen, også blev frigivet til myndighederne af ProtonMail.
Efter flyets landing i Minsk blev både journalisten Roman Protasevich og hans kæreste Sofia Sapega anholdt. Efterforskere i Litauen indledte en forundersøgelse ind i sagen, hvorfor ProtonMail blev tvunget gennem en "gensidig juridisk bistandsmekanisme" til at frigive IP-adressen til myndighederne. USA har også for nylig anklaget den hviderussiske regering for "luftpirateri" efter hændelsen, sigtelse af fire hviderussiske embedsmænd.
sagde ProtonMail i en udtalelse i maj 2021, at den af en officiel anmodning fra den schweiziske regering var blevet tvunget til at afsløre oplysninger, som den havde, men gjorde det klart, at selve e-mailen blev frigivet af efterforskning journalister. "Vi støtter europæiske myndigheder i deres undersøgelser, da vi er juridisk forpligtet til at gøre det på grundlag af en officiel anmodning fra den schweiziske regering."
Mange kan dog blive overrasket over, at ProtonMail var i stand til at frigive IP-adressen på kontoopretteren i første omgang. Virksomhedens engagement i privatlivets fred (som vist ved, at indholdet af e-mails og postkasse er fuldt krypteret) ville have fået mange til at tro, at det ikke ville have været i stand til at gendanne IP-adressen. Jeg kontaktede ProtonMail og spurgte, hvordan dette var muligt, og jeg fik at vide, at virksomheden ikke kommenterer specifikke sager. Jeg fik dog følgende svar i bred reference til virksomhedens Fortrolighedspolitik.
"Data relateret til åbning af en konto" beskriver de skridt, der er taget for at forhindre misbrug og beskytte brugere. Konkret: "IP-adresser, e-mailadresser og telefonnumre gemmes midlertidigt for at sende dig en bekræftelseskode og til anti-spam formål"
Det ser ud til, at da den litauiske regering indså, at bombetruslen var en fup, blev ProtonMail kontaktet. Ryanair-flyet, der blev tvunget til at lande i Hviderusland, fløj den 23. maj 2021, hvilket betyder, at selskabet førte en log over IP-adressen i lidt over en uge på det tidspunkt. Det er ikke klart, hvor længe ProtonMail holder på IP-adresser, e-mailadresser og telefonnumre efter deres sidste brug.
Det, der dog er klart, er, at virksomhedens løfte om, at e-mail-indhold bliver krypteret, ikke blev brudt. Alle efterforskere var i stand til at indsamle fra ProtonMail var kontooprettelsesdatoen og -klokkeslættet sammen med den IP-adresse, der blev brugt til at oprette den. Det er også værd at bemærke, at det ikke ser ud til, at IP-adressen på e-mail-afsenderen blev logget, og det var kun IP-adressen, der blev brugt til at oprette kontoen.