ProtonMail tvingades släppa en användares IP-adress till schweiziska myndigheter, även om det hade en bra anledning. Läs mer om det här.
ProtonMail är en tjänst hyllad för sitt engagemang för integritet. Det är en speciell favorit bland journalister, eftersom det säkert kan användas av whistleblowers och liknande utan rädsla för att avslöja sin identitet. ProtonMail tvingades dock nyligen av schweiziska myndigheter att släppa IP-adressen som den hade loggat för en användare, även om det hade en bra anledning.
För några månader sedan reste Ryanairs flight FR4978 från Aten i Grekland till Vilnius i Litauen. Flyget omdirigerades dock till Minsks flygplats i Vitryssland efter att ett bombhot skickats till Minsk National Airport och State Enterprise Lithuanian Airports. Dessa e-postmeddelanden skickades från en ProtonMail-adress enligt ICAO: s faktaundersökning, och det som är särskilt intressant är att IP-adressen som användes för att skapa kontot också släpptes till myndigheterna av ProtonMail.
Efter planets landning i Minsk greps både journalisten Roman Protasevich och hans flickvän Sofia Sapega. Utredare i Litauen inledde en förundersökning in i ärendet, varför ProtonMail tvingades genom en "mekanism för ömsesidig rättslig hjälp" att lämna ut IP-adressen till myndigheterna. USA har också nyligen anklagat den vitryska regeringen för "luftpirateri" efter incidenten, åtala fyra vitryska regeringstjänstemän.
sa ProtonMail i ett påstående i maj 2021 att den hade tvingats av en officiell begäran från den schweiziska regeringen att avslöja information som den hade, men klargjorde att själva e-postmeddelandet släpptes av en utredning journalister. "Vi stödjer europeiska myndigheter i deras utredningar, eftersom vi är juridiskt skyldiga att göra det på grundval av en officiell begäran från den schweiziska regeringen."
Många kan dock bli förvånade över att ProtonMail kunde släppa IP-adressen till kontoskaparen i första hand. Företagets engagemang för integritet (som framgår av att innehållet i e-postmeddelanden och brevlådan är helt krypterade) skulle ha fått många att tro att det inte skulle ha kunnat återställa IP-adressen. Jag kontaktade ProtonMail och frågade hur detta var möjligt, och jag fick veta att företaget inte kommenterar specifika fall. Jag fick dock följande svar i bred hänvisning till företagets integritetspolicy.
"Data relaterade till öppnandet av ett konto" beskriver de åtgärder som vidtagits för att förhindra missbruk och skydda användare. Specifikt: "IP-adresser, e-postadresser och telefonnummer som tillhandahålls sparas tillfälligt för att skicka en verifieringskod till dig och för anti-spam ändamål"
Det verkar som att när den litauiska regeringen insåg att bombhotet var en bluff kontaktades ProtonMail. Ryanair-flyget som tvingades landa i Vitryssland flög den 23 maj 2021, vilket innebär att företaget förde en logg över IP-adressen i drygt en vecka vid den tidpunkten. Det är inte klart hur länge ProtonMail behåller IP-adresser, e-postadresser och telefonnummer efter att de användes senast.
Det som dock står klart är att företagets löfte om att e-postinnehåll krypterats inte bröts. Alla utredare kunde samla in från ProtonMail var datum och tid för kontots skapande, tillsammans med IP-adressen som användes för att skapa det. Det är också värt att notera att det inte verkar som om IP-adressen för e-postavsändaren loggades, och det var bara IP-adressen som användes för att skapa kontot.