ProtonMail logged IP address of French activist after order by Swiss

ProtonMail, एक होस्टेड ईमेल सेवा, जो एंड-टू-एंड एन्क्रिप्टेड संचार पर ध्यान केंद्रित करती है, को एक के बाद आलोचना का सामना करना पड़ रहा है पुलिस रिपोर्ट ने दिखाया कि फ्रांसीसी अधिकारी एक फ्रांसीसी कार्यकर्ता का आईपी पता प्राप्त करने में कामयाब रहे जो ऑनलाइन सेवा का उपयोग कर रहा था। कंपनी ने घटना के बारे में व्यापक रूप से सूचित किया है, जिसमें कहा गया है कि यह डिफ़ॉल्ट रूप से आईपी पते लॉग नहीं करता है और यह केवल स्थानीय विनियमन का अनुपालन करता है – उस मामले में स्विस कानून। जबकि प्रोटॉनमेल ने फ्रांसीसी अधिकारियों के साथ सहयोग नहीं किया, फ्रांसीसी पुलिस ने यूरोपोल के माध्यम से स्विस पुलिस को एक अनुरोध भेजा ताकि कंपनी को अपने एक उपयोगकर्ता का आईपी पता प्राप्त करने के लिए मजबूर किया जा सके।

पिछले एक साल से, लोगों के एक समूह ने पेरिस में प्लेस सैंट मार्थे के पास मुट्ठी भर व्यावसायिक परिसर और अपार्टमेंट पर कब्जा कर लिया है। वे जेंट्रीफिकेशन, रियल एस्टेट अटकलों, एयरबीएनबी और हाई-एंड रेस्तरां के खिलाफ लड़ना चाहते हैं। जबकि यह एक स्थानीय संघर्ष के रूप में शुरू हुआ, यह शीघ्र ही एक प्रतीकात्मक अभियान बन गया। उन्होंने अखबारों की सुर्खियों को तब आकर्षित किया जब उन्होंने ले पेटिट कंबोज द्वारा किराए के परिसर पर कब्जा करना शुरू कर दिया – एक रेस्तरां जिसे 13 नवंबर, 2015 को पेरिस में आतंकवादी हमलों द्वारा लक्षित किया गया था।

1 सितंबर को, समूह ने पेरिस-luttes.info पर एक लेख प्रकाशित किया, जो एक पूंजीवाद विरोधी समाचार वेबसाइट है, जिसमें समूह के कुछ सदस्यों के खिलाफ विभिन्न पुलिस जांच और कानूनी मामलों का सारांश दिया गया है। उनकी कहानी के अनुसार, फ्रांसीसी पुलिस ने प्रोटॉनमेल खाता बनाने वाले व्यक्ति की पहचान को उजागर करने के लिए प्रोटॉनमेल को एक यूरोपोल अनुरोध भेजा – समूह इस ईमेल पते का उपयोग संवाद करने के लिए कर रहा था। पता विभिन्न अराजकतावादी वेबसाइटों पर भी साझा किया गया है।

अगले दिन, @MuArF ट्विटर पर साझा प्रोटॉनमेल के जवाब का विवरण देने वाली एक पुलिस रिपोर्ट का सार। @MuArF के अनुसार, पुलिस रिपोर्ट उस समूह के खिलाफ चल रही जांच से संबंधित है, जिसने प्लेस सैंट-मार्थे के आसपास विभिन्न परिसरों पर कब्जा कर लिया था। इसमें कहा गया है कि यूरोपोल पर फ्रांसीसी पुलिस को एक संदेश मिला। उस संदेश में प्रोटॉनमेल खाते के बारे में विवरण है।

यहाँ रिपोर्ट क्या कहती है:

  • कंपनी PROTONMAIL हमें सूचित करती है कि ईमेल पता बनाया गया है … खाते से जुड़ा आईपी पता निम्नलिखित है: …
  • उपयोग किया गया उपकरण एक … डिवाइस है जिसे नंबर से पहचाना जाता है …
  • कंपनी द्वारा प्रेषित डेटा प्रोटोनमेल टेक्नोलॉजीज की गोपनीयता नीति के कारण उस तक सीमित है।”

प्रोटॉनमेल के संस्थापक और सीईओ एंडी येन ने पुलिस रिपोर्ट पर प्रतिक्रिया दी ट्विटर पे विशेष रूप से उस मामले की विशिष्ट परिस्थितियों का उल्लेख किए बिना। “प्रोटॉन को स्विस कानून का पालन करना चाहिए। जैसे ही कोई अपराध किया जाता है, गोपनीयता सुरक्षा को निलंबित किया जा सकता है और स्विस अधिकारियों के अनुरोधों का जवाब देने के लिए स्विस कानून द्वारा हमें आवश्यक है, “उन्होंने लिखा।

विशेष रूप से, एंडी येन यह स्पष्ट करना चाहता है कि उसकी कंपनी ने फ्रांसीसी पुलिस और न ही यूरोपोल के साथ सहयोग नहीं किया। ऐसा लगता है कि यूरोपोल ने फ्रांसीसी अधिकारियों और स्विस अधिकारियों के बीच संचार चैनल के रूप में काम किया। कुछ बिंदु पर, स्विस अधिकारियों ने मामले को संभाला और सीधे प्रोटॉनमेल को एक अनुरोध भेजा। कंपनी अपनी पारदर्शिता रिपोर्ट में इन अनुरोधों को “स्विस अधिकारियों द्वारा अनुमोदित विदेशी अनुरोधों” के रूप में संदर्भित करती है।

टेकक्रंच ने मामले के बारे में सवालों के साथ प्रोटॉनमेल के संस्थापक और सीईओ एंडी येन से संपर्क किया।

एक महत्वपूर्ण सवाल यह है कि जब लक्षित खाताधारक को सूचित किया गया था कि स्विस अधिकारियों द्वारा उनके डेटा का अनुरोध किया गया था – प्रति प्रोटॉनमेल – अधिसूचना स्विस कानून के तहत अनिवार्य है।

हालांकि, येन ने हमें बताया कि – “गोपनीयता और कानूनी कारणों के लिए” – वह मामले के विशिष्ट विवरणों पर टिप्पणी करने में असमर्थ है या “सक्रिय जांच पर गैर-सार्वजनिक जानकारी” प्रदान करने में असमर्थ है, यह कहते हुए: “आपको इन पूछताछों को निर्देशित करना होगा स्विस अधिकारी। ”

उसी समय, उन्होंने हमें इस सार्वजनिक पृष्ठ पर इंगित किया, जहां प्रोटॉनमेल कानून प्रवर्तन अधिकारियों के लिए जानकारी प्रदान करता है जो इसकी एंड-टू-एंड एन्क्रिप्टेड ईमेल सेवा के उपयोगकर्ताओं के बारे में डेटा मांगता है, जिसमें “प्रोटॉनमेल उपयोगकर्ता अधिसूचना नीति” सेट करना शामिल है।

यहां कंपनी दोहराती है कि स्विस कानून “एक उपयोगकर्ता को सूचित करने की आवश्यकता है यदि कोई तीसरा पक्ष अपने निजी डेटा के लिए अनुरोध करता है और इस तरह के डेटा का उपयोग आपराधिक कार्यवाही में किया जाना है” – हालांकि यह भी नोट करता है कि “कुछ परिस्थितियों में” एक अधिसूचना “देरी हो सकती है”।

इस नीति के अनुसार, प्रोटॉन का कहना है कि देरी सूचनाओं को प्रभावित कर सकती है यदि: स्विस कानूनी प्रक्रिया द्वारा नोटिस पर एक अस्थायी निषेध है, स्विस अदालत के आदेश या “लागू स्विस कानून” द्वारा; या जहां “कानून प्रवर्तन द्वारा प्रदान की गई जानकारी के आधार पर, हम अपने पूर्ण विवेकाधिकार में मानते हैं कि नोटिस प्रदान करने से किसी पहचान योग्य व्यक्ति या व्यक्तियों के समूह को चोट, मृत्यु, या अपूरणीय क्षति का जोखिम पैदा हो सकता है।”

“एक सामान्य नियम के रूप में, लक्षित उपयोगकर्ताओं को अंततः सूचित किया जाएगा और डेटा अनुरोध पर आपत्ति करने का अवसर दिया जाएगा, या तो प्रोटॉनमेल या स्विस अधिकारियों द्वारा,” नीति में कहा गया है।

इसलिए, विशिष्ट मामले में, ऐसा लगता है कि प्रोटॉनमेल या तो खाताधारक को अधिसूचना में देरी करने के लिए कानूनी आदेश के तहत था – यह देखते हुए कि लॉगिंग को उकसाने और इसके प्रकटीकरण के बीच आठ महीने तक क्या प्रतीत होता है – या इसे प्रदान किया गया था स्विस अधिकारियों द्वारा जानकारी जिसके कारण यह निष्कर्ष निकला कि किसी व्यक्ति या व्यक्तियों को “चोट, मृत्यु, या अपूरणीय क्षति” के जोखिम से बचने के लिए नोटिस में देरी करना आवश्यक था (एनबी: यह स्पष्ट नहीं है कि इस संदर्भ में “अपूरणीय क्षति” का क्या अर्थ है, और क्या इसकी व्याख्या लाक्षणिक रूप से की जा सकती है – किसी व्यक्ति/समूह के हितों के लिए ‘क्षति’ के रूप में, उदाहरण के लिए, एक आपराधिक जांच के लिए, न कि केवल शारीरिक नुकसान – जो नीति को काफी अधिक विस्तृत बना देगा)।

किसी भी परिदृश्य में स्विस कानून द्वारा व्यक्तियों को पारदर्शिता का स्तर अनिवार्य अधिसूचना की आवश्यकता होती है, जब किसी व्यक्ति के डेटा का अनुरोध किया जाता है तो वह गंभीर रूप से सीमित दिखता है यदि वही कानून प्राधिकरण अनिवार्य रूप से, लंबी अवधि के लिए संभावित रूप से अधिसूचनाओं को बंद कर सकते हैं (प्रतीत होता है कि आधे से अधिक इस विशिष्ट मामले में एक वर्ष)।

प्रोटॉनमेल के सार्वजनिक खुलासे में स्विस अधिकारियों द्वारा डेटा के अनुरोधों में खतरनाक वृद्धि दर्ज की गई है।

इसकी पारदर्शिता रिपोर्ट के अनुसार, प्रोटॉनमेल को 2017 में स्विस अधिकारियों से 13 ऑर्डर मिले थे – लेकिन 2020 तक यह बढ़कर साढ़े तीन हजार (3,572!) हो गया था।

स्विस अधिकारियों के लिए स्वीकृत किए जा रहे विदेशी अनुरोधों की संख्या में भी वृद्धि हुई है, हालांकि उतनी तेजी से नहीं – प्रोटॉनमेल रिपोर्टिंग के साथ 2017 में ऐसे 13 अनुरोध प्राप्त हुए – 2020 में बढ़कर 195 हो गए।

कंपनी का कहना है कि वह उपयोगकर्ता डेटा के लिए वैध अनुरोधों का अनुपालन करती है, लेकिन यह भी कहती है कि वह उन आदेशों का विरोध करती है जहां उसे विश्वास नहीं होता कि वे वैध हैं। और इसकी रिपोर्टिंग विवादित आदेशों में वृद्धि दर्शाती है – प्रोटॉनमेल ने 2017 में तीन आदेशों का विरोध किया, लेकिन 2020 में इसे प्राप्त डेटा अनुरोधों के 750 के मुकाबले पीछे धकेल दिया।

प्रोटॉनमेल की गोपनीयता नीति के अनुसार, स्विस कानून के तहत एक वैध अनुरोध के जवाब में यह उपयोगकर्ता खाते पर जो जानकारी प्रदान कर सकता है, उसमें उपयोगकर्ता द्वारा प्रदान की गई खाता जानकारी (जैसे ईमेल पता) शामिल हो सकती है; खाता गतिविधि/मेटाडेटा (जैसे प्रेषक, प्राप्तकर्ता ईमेल पते; आने वाले संदेशों से उत्पन्न आईपी पते; संदेश भेजे और प्राप्त किए जाने का समय; संदेश विषय आदि); संदेशों की कुल संख्या, उपयोग किए गए संग्रहण और अंतिम लॉगिन समय; और बाहरी प्रदाताओं से प्रोटॉनमेल को भेजे गए अनएन्क्रिप्टेड संदेश। एंड-टू-एंड एन्क्रिप्टेड ईमेल प्रदाता के रूप में, यह ईमेल डेटा को डिक्रिप्ट नहीं कर सकता है, इसलिए वारंट के साथ दिए जाने पर भी ईमेल की सामग्री पर जानकारी प्रदान करने में असमर्थ है।

हालाँकि, अपनी पारदर्शिता रिपोर्ट में, कंपनी डेटा संग्रह की एक अतिरिक्त परत का भी संकेत देती है जिसे वह (कानूनी रूप से) निष्पादित करने के लिए बाध्य हो सकता है – यह लिखते हुए: “हमारी गोपनीयता नीति में सूचीबद्ध वस्तुओं के अलावा, अत्यधिक आपराधिक मामलों में, प्रोटॉनमेल हो सकता है आपराधिक गतिविधियों में लगे प्रोटॉनमेल खातों तक पहुंचने के लिए उपयोग किए जा रहे आईपी पते की निगरानी के लिए भी बाध्य होना चाहिए।

सामान्य तौर पर, जब तक आप अंतरराष्ट्रीय जल में 15 मील की दूरी पर स्थित नहीं हैं, तब तक अदालत के आदेशों की अनदेखी करना संभव नहीं है एंडी येन

यह वह आईपी निगरानी घटक है जिसने अब गोपनीयता अधिवक्ताओं के बीच इस तरह के अलार्म का कारण बना है – और ‘उपयोगकर्ता गोपनीयता केंद्रित’ कंपनी के रूप में प्रोटॉन के विपणन दावों की कोई छोटी आलोचना नहीं है।

इसे “गुमनाम ईमेल” प्रदान करने के विपणन दावों और इसके पारदर्शिता प्रकटीकरण में चेतावनी के शब्दों के लिए विशेष आलोचना का सामना करना पड़ा है – जहां यह केवल “अत्यधिक आपराधिक मामलों” में होने वाली आईपी लॉगिंग के बारे में बात करता है।

कुछ लोग इस बात से सहमत होंगे कि जेंट्रीफिकेशन विरोधी प्रचारक उस बार से मिलते हैं।

उसी समय, प्रोटॉन उपयोगकर्ताओं को एक प्याज का पता प्रदान करता है – जिसका अर्थ है कि ट्रैकिंग के बारे में चिंतित कार्यकर्ता टोर का उपयोग करके इसकी एन्क्रिप्टेड ईमेल सेवा तक पहुंच सकते हैं, जिससे उनके आईपी पते को ट्रैक करना कठिन हो जाता है। इसलिए यह उपयोगकर्ताओं को आईपी निगरानी के खिलाफ खुद को बचाने के लिए उपकरण प्रदान कर रहा है (साथ ही साथ उनके ईमेल की सामग्री को जासूसी से बचाने के लिए), भले ही इसकी अपनी सेवा कुछ परिस्थितियों में स्विस कानून द्वारा आईपी निगरानी उपकरण में बदल दी जा सके। प्रवर्तन

फ्रांसीसी कार्यकर्ताओं के आईपी लॉगिंग के रहस्योद्घाटन के आसपास, येन ने ट्विटर के माध्यम से कहा कि प्रोटॉनमेल अपनी वेबसाइट पर अपने प्याज के पते के लिए एक अधिक प्रमुख लिंक प्रदान करेगा:

प्रोटॉन अपनी खुद की एक वीपीएन सेवा भी प्रदान करता है – और येन ने दावा किया है कि स्विस कानून इसे अपने वीपीएन उपयोगकर्ताओं के आईपी पते लॉग करने की अनुमति नहीं देता है। इसलिए यह अनुमान लगाना दिलचस्प है कि क्या कार्यकर्ता आईपी लॉगिंग से बचने में सक्षम हो सकते हैं यदि वे प्रोटॉन के एंड-टू-एंड एन्क्रिप्टेड ईमेल और इसकी वीपीएन सेवा दोनों का उपयोग कर रहे थे …

“अगर वे टोर या प्रोटॉन वीपीएन का उपयोग कर रहे थे, तो हम एक आईपी प्रदान करने में सक्षम होंगे, लेकिन यह वीपीएन सर्वर का आईपी होगा, या टोर एग्जिट नोड का आईपी होगा,” येन ने टेकक्रंच को बताया जब हमने इस बारे में पूछा।

“हम अपनी प्याज साइट (protonmail.com/tor) के माध्यम से इस खतरे के मॉडल से रक्षा करते हैं,” उन्होंने कहा। “हालांकि सामान्य तौर पर, जब तक आप अंतरराष्ट्रीय जल में 15 मील की दूरी पर स्थित नहीं हैं, तब तक अदालत के आदेशों की अनदेखी करना संभव नहीं है।”

“स्विस कानूनी प्रणाली, जबकि सही नहीं है, कई चेक और बैलेंस प्रदान करती है, और यह ध्यान देने योग्य है कि इस मामले में भी, दो देशों में तीन अधिकारियों से अनुमोदन की आवश्यकता थी, और यह एक काफी उच्च बार है जो अधिकांश को रोकता है (लेकिन सभी नहीं) सिस्टम का दुरुपयोग।”

रेडिट पर एक सार्वजनिक प्रतिक्रिया में, प्रोटॉन यह भी लिखता है कि यह मामले के बारे में “गहराई से चिंतित” है – यह दोहराते हुए कि वह इस उदाहरण में आदेश का विरोध करने में असमर्थ था।

“इस मामले में अभियोजन काफी आक्रामक लगता है,” यह जोड़ा। “दुर्भाग्य से, यह एक ऐसा पैटर्न है जिसे हमने हाल के वर्षों में दुनिया भर में तेजी से देखा है (उदाहरण के लिए फ्रांस में जहां आतंकवादी कानूनों का अनुपयुक्त उपयोग किया जाता है)। हम ऐसे कानूनों और दुर्व्यवहारों के खिलाफ अभियान जारी रखेंगे।”

यूरोप में इंटरनेट उपयोगकर्ताओं की गोपनीयता को खतरे में डालने वाले एक और चिंताजनक विकास में ज़ूम आउट करते हुए, यूरोपीय संघ के सांसदों ने संकेत दिया है कि वे एन्क्रिप्टेड डेटा तक वैध पहुंच को सक्षम करने के तरीके खोजने के लिए काम करना चाहते हैं – यहां तक ​​​​कि वे एक साथ मजबूत एन्क्रिप्शन का समर्थन करने का दावा करते हैं।

फिर से, गोपनीयता प्रचारक चिंतित हैं।

प्रोटॉनमेल और कई अन्य एंड-टू-एंड एन्क्रिप्टेड सेवाओं ने जनवरी में एक खुले पत्र में चेतावनी दी थी कि यदि वे इस दिशा में जारी रखते हैं तो यूरोपीय संघ के सांसद इस क्षेत्र को बैकडोरिंग एन्क्रिप्शन की ओर एक खतरनाक रास्ते पर स्थापित करने का जोखिम उठाते हैं।

Related Posts

error: Content is protected !!