Proton predao lične podatke svog korisnika policiji (opet)

Proton je ponovo predao podatke policiji o svom ProtonMail korisniku nakon čega je policija uspela da identifikuje pojedinca.

Proton garantuje privatnost svojim korisnicima jer su bazirani u Švajcarskoj koja ima povoljne zakone po pitanju privatnosti korisnika. Međutim, Švajcarska takođe ima i zakone po kojima kompanije moraju da predaju podatke o svojim korisnicima po nalogu suda. Budući da firma Proton AG (koja stoji iza ProtonMail, ProtonVPN i drugih Proton servisa) mora da poštuje sve zakone u državi gde ima sedište, u obavezi je da preda podatke o svojim korisnicima na zahtev vlasti.

Istina je da se kompanija trudi da enkriptuje što je više podataka moguće i smanji broj PII (ličnih) podataka o svojim korisnicima koje prikuplja, ipak postoje podaci koje mogu koristiti vlastima da dođu do osobe koja stoji iza određenog Proton naloga.

Najnoviji slučaj

U najnovijem slučaju, španske vlasti su zatražile od kompanije Proton da im preda podatke o ProtonMail korisniku pod pseudonimom „Xuxo Rondinaire“. Za ovog korisnika se sumnja da je „Mossos d’Esquadra“ član (katalonske policijske snage) te da je koristio interne informacije za pomoć pokretu „Democratic Tsunami“.

Zahtevi su upućeni pod maskom antiterorističkih zakona, uprkos tome što su primarne aktivnosti „Demokratskog cunamija“ uključivale proteste i blokade puteva, što postavlja pitanja o proporcionalnosti i opravdanosti takvih mera.

U svakom slučaju, Proton je španskim i švajcarskim vlastima na zahtev otkrio rezervnu email adresu (email koji služi za oporavak naloga) ovog korisnika. Tu email adresu su vlasti potom poslale kompaniji Apple nakon čega su dobili sve lične podatke o korisniku što uključuje puno ime i prezime, dve fizičke adrese i Gmail nalog povezan za taj Apple nalog.

Istorija se ponavlja

Ovo nije prvi put da je kompanija Proton predala podatke policiji o svom korisniku. Pre oko 3 godine Proton je na zahtev predao švajcarskim vlastima IP adresu i podatke o uređaju jednog svog korisnika koji je koristio Proton Mail. Nakon tog događaja, Proton je sa svog sajta uklonio tvrdnju da ne prikupljaju IP adrese svojih korisnika.

Proton ima vezane ruke u ovakvim situacijama i predali su minimum informacija o svom korisniku, ali je to ipak bilo dovoljno da se pojedinac identifikuje.

Nekada je vlastima bilo potrebno da imaju pristup sadržaju poruka kako bi identifikovali pojedince, a takav sadržaj je sada uglavnom uvek enkriptovan. Međutim, vlastima danas nije ni potrebno da imaju uvid u sam sadržaj već su im potrebni samo meta podaci – kao što je IP adresa, rezervna email adresa, zaglavlja mejlova, krajnje email adrese, i sl. Pomoću naprednih softvera i algoritama, vlasti mogu da ukrštanjem dostupnih meta podataka dođu do pojedinca.

Proton redovno daje vlastima podatke korisnika

Ako pogledamo izveštaje transparentnosti na sajtu kompanije Proton, možemo videti da su samo u 2023. godini postupili po nalogu suda skoro 6.000 puta. Od 2017. taj broj se eksponencijalno uvećava te možemo zaključiti da Proton redovno svake godine vlastima daje informacije o svojim korisnicima po nalogu suda.

Kako ostati anoniman?

Ovo je samo još jedan slučaj koji treba uzeti u obzira kada birate svog Mail i VPN provajdera za anonimnost i privatnost na internetu. Švajcarska možda ima povoljne zakone za privatnost korisnika, ali to pada u vodu kada uzmemo u obzira da su firme u toj državi u obavzi da vlastima predaju podatke o svojim korisnicima – koje god imali.

Uz to, Švajcarska, EU i USA međusobno razmenjuju podatke i pomažu se u pronalaženju individualaca koji se kriju iza anonimnih online naloga. U ovom najnovijem slučaju imali smo prilike da vidimo kako Španija traži podatke određenog korisnika od Švajcarske, a zatim na osnovu tih podataka dalje traže lične podatke o tom korisniku od USA.

Ovaj konkretan korisnik nije imao dobar Opsec (nije se dovoljno zaštitio) i vrlo lako su došli do njega. Ali, podsetimo se da su nedavno zajedničkim snagama na kraju pronašli i vlasnika BreachForums-a „Pompompurin“ preko Apple naloga – a imao je svakako mnogo bolji Opsec.

Zbog toga, uvek gledajte da li je sedište kompanije servisa koji želite da koristite u državi gde zakoni obavezuju kompanije da predaju podatke o svojim korisnicima.

Recimo, NordVPN je baziran u Panami i u toj državi ne postoji zakon po kojem kompanije moraju predati vlastima podatke o svojim korisnicima. Da je Proton baziran u Panami, do ovakvih slučajeva ne bi došlo.

Pođite od toga.

Stefan Marjanov
Stefan Marjanov

Diplomirani inženjer informatike. Aktivno se bavim informacionim tehnologijama oko 13 godina, a nešto kraće i veb dizajnom. Takođe, osnivač sam ovog bloga na kome radim i pišem više od 10 godina. Ako želite da podržite moj rad kliknite ovde.

Budi u toku

Mrzi te da redovno posećuješ blog kako bi bio/la u toku sa objavama? Unesi svoj email i blog će ti jednom mesečno slati nove objave. Bez spama, odjavi se bilo kada.

Ostavi komentar

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *