In two languages English and Hindi
ProtonMail explains why it shared user's IP address with police
Even a secure email service cannot ignore a legally binding order from the Swiss authorities.
ProtonMail advertises itself as the world's largest secure email service, and yet it recently shared a customer's IP address and device details with Swiss and French authorities, leading to his arrest.
Activist, hacker and security researcher Etienne Menier shared details of the information sharing carried out by ProtonMail on Twitter. It began with a legal request from Europol through the Swiss authorities and targeted a climate activist from the Youth for Climate Action in Paris. As TechCrunch reports, the request was in relation to a group of activists living in a compound rented by the restaurant Le Petit Combos in Paris, which was targeted in the 2015 Paris terrorist attacks. The ProtonMail account was being used by the group for communications, so French officials were determined to find out who created it.
Inevitably, the information sharing and subsequent arrests have raised a huge question mark as to how secure the email service really is if the information can be shared so easily, especially since ProtonMail states on its homepage that "Your secure No personal information is required to create an email account. By default, we do not keep any IP logs that may be linked to your anonymous email account. Your privacy comes first."
Responding to questions being raised in a blog post, ProtonMail founder and CEO Andy Yen explained that the service "received a legally binding order from the Swiss authorities that we are obliged to comply with." The order could not be appealed and forced the service to "collect information on accounts belonging to users under Swiss criminal investigation." In other words, ProtonMail does not collect your information unless compelled (as was the case in this case).
The yen also states that the encryption used by the service for all data stored and sent by an account cannot be bypassed. It's also interesting that Yen says his team doesn't know who it was they were asked to monitor because "we don't know the identities of our users."
In response to this episode, ProtonMail is updating its website to clarify the service's obligations upon criminal prosecution, and that the Privacy Policy reflects its obligations under Swiss law. Also, users who want anonymity are urged to use Tor to access ProtonMail and the Onion site provided. The yen also pointed to the fact that ProtonMail "fought over 700 cases in 2020 alone," but did not say how many were won.
In hindi language-
यहां तक कि एक सुरक्षित ईमेल सेवा भी स्विस अधिकारियों के कानूनी रूप से बाध्यकारी आदेश की उपेक्षा नहीं कर सकती है।
ProtonMail खुद को दुनिया की सबसे बड़ी सुरक्षित ईमेल सेवा के रूप में विज्ञापित करता है, और फिर भी इसने हाल ही में स्विस और फ्रांसीसी अधिकारियों के साथ एक ग्राहक का IP पता और डिवाइस विवरण साझा किया, जिसके कारण उसे गिरफ्तार किया गया।
एक्टिविस्ट, हैकर और सुरक्षा शोधकर्ता एटियेन मेनियर ने ट्विटर पर प्रोटॉनमेल द्वारा किए गए जानकारी साझा करने का विवरण साझा किया। यह स्विस अधिकारियों के माध्यम से यूरोपोल के एक कानूनी अनुरोध से शुरू हुआ और पेरिस में जलवायु कार्रवाई के लिए यूथ के एक जलवायु कार्यकर्ता को लक्षित किया। टेकक्रंच की रिपोर्ट के अनुसार, अनुरोध पेरिस में रेस्तरां ले पेटिट कंबोज द्वारा किराए पर लिए गए परिसर में रहने वाले कार्यकर्ताओं के एक समूह के संबंध में था, जिसे 2015 के पेरिस आतंकवादी हमलों में लक्षित किया गया था। प्रोटॉनमेल खाते का उपयोग समूह द्वारा संचार के लिए किया जा रहा था, इसलिए फ्रांसीसी अधिकारी यह पता लगाने के लिए दृढ़ थे कि इसे किसने बनाया है।
अनिवार्य रूप से, सूचना साझा करने और बाद में गिरफ्तारी ने एक बड़ा प्रश्नचिह्न खड़ा कर दिया है कि ईमेल सेवा वास्तव में कितनी सुरक्षित है यदि जानकारी इतनी आसानी से साझा की जा सकती है, खासकर जब प्रोटॉनमेल अपने होमपेज पर बताता है कि "आपका सुरक्षित ईमेल खाता बनाने के लिए कोई व्यक्तिगत जानकारी की आवश्यकता नहीं है . डिफ़ॉल्ट रूप से, हम कोई भी आईपी लॉग नहीं रखते हैं जिसे आपके अनाम ईमेल खाते से जोड़ा जा सकता है। आपकी गोपनीयता पहले आती है।"
प्रोटॉनमेल के संस्थापक और मुख्य कार्यकारी अधिकारी एंडी येन ने एक ब्लॉग पोस्ट में उठाए जा रहे सवालों का जवाब देते हुए बताया कि सेवा को "स्विस अधिकारियों से कानूनी रूप से बाध्यकारी आदेश प्राप्त हुआ जिसका हम पालन करने के लिए बाध्य हैं।" आदेश की अपील नहीं की जा सकी और सेवा को "स्विस आपराधिक जांच के तहत उपयोगकर्ताओं से संबंधित खातों की जानकारी एकत्र करने के लिए मजबूर किया।" दूसरे शब्दों में, ProtonMail आपकी जानकारी तब तक एकत्र नहीं करता जब तक कि उसे मजबूर न किया जाए (जैसा कि इस मामले में था)।
येन यह भी बताता है कि किसी खाते द्वारा संग्रहीत और भेजे गए सभी डेटा के लिए सेवा द्वारा उपयोग किए जाने वाले एन्क्रिप्शन को बायपास नहीं किया जा सकता है। यह भी दिलचस्प है कि येन का कहना है कि उनकी टीम को पता नहीं है कि वह कौन था जिसे उन्हें मॉनिटर करने के लिए कहा गया था क्योंकि "हम अपने उपयोगकर्ताओं की पहचान नहीं जानते हैं।"
इस प्रकरण के जवाब में, ProtonMail अपनी वेबसाइट को अपडेट करने जा रहा है ताकि आपराधिक मुकदमा चलाने पर सेवा के दायित्वों को स्पष्ट किया जा सके, और यह कि गोपनीयता नीति स्विस कानून के तहत अपने दायित्वों को दर्शाती है। साथ ही, जो उपयोगकर्ता गुमनामी चाहते हैं, उन्हें प्रोटॉनमेल और प्रदान की गई प्याज साइट तक पहुंचने के लिए टोर का उपयोग करने का आग्रह किया जाता है। येन इस तथ्य की ओर भी इशारा करता है कि प्रोटॉनमेल ने "अकेले 2020 में 700 से अधिक मामलों में लड़ाई लड़ी," लेकिन यह नहीं बताया कि कितने जीते गए।