В минувшие выходные вокруг защищенного почтового сервиса ProtonMail разгорелся скандал. Дело в том, что руководство сервиса сообщило, что недавно было вынуждено сохранить IP-адрес одного из своих клиентов, так как ProtonMail получил соответствующее распоряжение от швейцарских властей, которое невозможно было обжаловать или отклонить.
«Неважно, какой сервис вы используете, если он не находится в 15 милях от берега в международных водах, компания будет обязана соблюдать закон», — писал в блоге глава ProtonMail Энди Йен (Andy Yen).
Инцидент связан с серией акций протеста против джентрификации, которые прошли в Париже летом и осенью 2020 года. Тогда группа активистов Youth for Climate заняла ряд площадей и зданий в Париже, в знак протеста против компаний, скупающих недвижимость и повышающих арендную плату для местных жителей в четыре раза. Тогда активисты использовали почтовый ящик на ProtonMail для организации протестов (jmm[***] @ protonmail.com), и это привлекло как внимание компаний, занимающихся недвижимость, так и французской полиции.
На прошлой неделе сайт Paris Luttes (Paris Struggles) сообщил, что французская полиция и Европол связались со швейцарским правительством и попросили помощи, стремясь узнать подробности о личности владельца этого почтового ящика.
«Proton получил юридически обязывающий приказ от Федерального департамента юстиции и полиции, который мы обязаны были выполнять, — объясняют представители ProtonMail. — Согласно швейцарскому законодательству, подозреваемый обязательно должен быть уведомлен о том, что его данные запрошены, чего в большинстве стран не практикуется».
Однако Энди Йен заявил, что отдельный приказ о неразглашении информации не позволил компании вовремя уведомить пользователя о происходящем. То есть сервис был вынужден сохранить IP-адрес, который французский активист использовал для входа в свой почтовый ящик на ProtonMail, и передать его властям.
«Proton может быть обязан собирать информацию об учетных записях, принадлежащих пользователям, которые находятся под уголовным расследованием в Швейцарии. Очевидно, что это делается не по умолчанию, а лишь в том случае, если Proton получает юридический приказ для конкретной учетной записи. Интернет в основном не анонимен, и если вы нарушаете швейцарский закон, законопослушная компания, такая как ProtonMail, может быть юридически обязана сохранить ваш IP-адрес».
При этом Йен попытался защитить швейцарскую правовую систему в целом:
«Швейцарская правовая система неидеальна, но она имеет ряд сдержек и противовесов, и стоит отметить, что даже в этом случае требовалось одобрение трех руководящих органов из двух странах, а это довольно высокая планка, которая не позволяет большинству (но не всем) злоупотребление системой. […] Наконец, Швейцария, как правило, не способствует судебному преследованию, которое исходит из стран, где нет справедливой системы правосудия».
Однако пользователям ProtonMail произошедшее, разумеется, пришлось не по вкусу. Многие вспомнили и о том, что сервисом ProtonMail многие годы пользуются операторы шифровальщиков, шантажисты и прочие преступники, однако руководство компании в итоге помогло расследованию, которое касалось активиста, а не поимке очередной вымогательской группировки.
Hol’ up…
— E (@nemesis09) September 6, 2021
So France police manages to get ProtonMail to release information about /climate activists/?
Good thing they don’t take ransomware that seriously, I guess ?♀️
Также ProtonMail подверглась жесткой критике за свой маркетинг, ведь компания многие годы обещает пользователям «анонимную электронную почту», хотя, согласно последнему отчету о прозрачности, количество требований, которые компания получает от властей, растет в геометрической прогрессии: с 13 запросов в 2017 году до 3572 в прошлом году (195 из них были иностранными).
В итоге в компании внесли изменения в политику конфиденциальности, которая еще недавно гласила: «по умолчанию мы не ведем логи IP-адресов, которые могут быть связаны с вашей анонимной учетной записью электронной почты». Теперь фразу «мы не ведем логи IP-адресов» удалили, заменив ее на следующую формулировку: «ProtonMail — это электронная почта, которая уважает конфиденциальность и ставит людей (а не рекламодателей) на первое место».