ProtonMail ble tvunget til å frigi en bruker-IP-adresse til sveitsiske myndigheter, selv om det hadde en god grunn. Les mer om det her.
ProtonMail er en tjeneste som er hyllet for sin forpliktelse til personvern. Det er en spesiell favoritt blant journalister, siden det kan brukes av varslere og lignende på en sikker måte uten frykt for å avsløre identiteten deres. Imidlertid ble ProtonMail nylig tvunget av sveitsiske myndigheter til å frigi IP-adressen den hadde logget av en bruker, selv om det hadde en god grunn.
For noen måneder siden reiste Ryanair flight FR4978 fra Athen i Hellas til Vilnius i Litauen. Flyet ble imidlertid omdirigert til Minsk flyplass i Hviterussland etter at en bombetrussel ble sendt til Minsk National Airport og State Enterprise Lithuanian Airports. Disse e-postene ble sendt fra en ProtonMail-adresse ifølge ICAO-undersøkelsen, og det som er spesielt interessant er at IP-adressen som ble brukt til å opprette kontoen også ble frigitt til myndighetene av ProtonMail.
Etter flyets landing i Minsk ble både journalisten Roman Protasevich og kjæresten Sofia Sapega arrestert. Etterforskere i Litauen
startet en forhåndsetterforskning inn i saken, som er grunnen til at ProtonMail ble tvunget gjennom en "gjensidig juridisk bistandsmekanisme" til å frigi IP-adressen til myndighetene. USA har også nylig anklaget den hviterussiske regjeringen for "luftpiratvirksomhet" etter hendelsen, siktet fire hviterussiske myndighetspersoner.sa ProtonMail i en uttalelse i mai 2021 at den hadde blitt tvunget av en offisiell anmodning fra den sveitsiske regjeringen om å røpe informasjon den hadde, men gjorde det klart at selve e-posten ble utgitt av etterforskning journalister. "Vi støtter europeiske myndigheter i deres undersøkelser, ettersom vi er juridisk forpliktet til å gjøre det på grunnlag av en offisiell forespørsel fra den sveitsiske regjeringen."
Imidlertid kan mange bli overrasket over at ProtonMail var i stand til å frigi IP-adressen til kontoskaperen i utgangspunktet. Selskapets forpliktelse til personvern (som vist ved at innholdet i e-postene og postkassen er fullstendig kryptert) ville fått mange til å tro at det ikke ville vært i stand til å gjenopprette IP-adressen. Jeg tok kontakt med ProtonMail og spurte hvordan dette var mulig, og jeg ble fortalt at selskapet ikke kommenterer spesifikke saker. Imidlertid fikk jeg følgende svar i bred referanse til selskapets personvernerklæring.
"Data knyttet til åpning av en konto" beskriver trinnene som er tatt for å forhindre misbruk og beskytte brukere. Nærmere bestemt: "IP-adresser, e-postadresser og telefonnumre som oppgis lagres midlertidig for å sende deg en bekreftelseskode og for anti-spam formål"
Det ser ut til at da den litauiske regjeringen innså at bombetrusselen var en bløff, ble ProtonMail kontaktet. Ryanair-flyet som ble tvunget til å lande i Hviterussland fløy 23. mai 2021, noe som betyr at selskapet holdt en logg over IP-adressen i litt over en uke på det tidspunktet. Det er ikke klart hvor lenge ProtonMail holder på IP-adressene, e-postadressene og telefonnumrene etter siste bruk.
Det som imidlertid er klart er at selskapets løfte om at e-postinnhold skal krypteres ikke ble brutt. Alle etterforskere var i stand til å samle inn fra ProtonMail var datoen og klokkeslettet for kontooppretting, sammen med IP-adressen som ble brukt til å opprette den. Det er også verdt å merke seg at det ikke ser ut til at IP-adressen til e-postavsenderen ble logget, og det var kun IP-adressen som ble brukt til å opprette kontoen.