Protonmail verstrekt IP-adres van activist na bevel Zwitserse autoriteiten

Protonmail heeft het IP-adres van een klimaatactivist verstrekt aan Zwitserse autoriteiten, waarna de activist is opgepakt. De op privacy gerichte e-maildienst was daartoe verplicht nadat het een bevel ontving van de Zwitserse autoriteiten.

Protonmail zou aanvankelijk een verzoek hebben ontvangen van de Franse politie, blijkt uit een politierapport dat op Twitter verscheen. Nadat het bedrijf dit verzoek afwees, zouden de Franse autoriteiten een verzoek aan de Zwitserse politie hebben ingediend via Europol. Uiteindelijk werd de zaak door Zwitserse autoriteiten overgenomen en die bevonden dat de klimaatactivist de Zwitserse wet heeft overtreden. Daarop diende het ministerie van Justitie het bevel in bij Proton. De ceo van Protonmail schrijft op Twitter dat het bedrijf deze beslissing niet kon aanvechten.

Proton heeft in een blogpost en op Reddit gereageerd op het voorval, waarbij het bedrijf onder andere meldt dat het bedrijf standaard geen IP-adressen monitort. Het bedrijf begint naar eigen zeggen pas met het loggen van het IP-activiteiten van specifieke accounts nadat het bedrijf een bindend gerechtelijk bevel daartoe ontvangt van Zwitserse autoriteiten, zoals ook wordt vermeld in de privacyvoorwaarden van Protonmail. Daarbij keuren Zwitserse autoriteiten alleen verzoeken goed wanneer de Zwitserse wet wordt overtreden door een verdachte, schrijft Protonmail.

Het bedrijf benadrukt verder dat de encryptie van Protonmail niet omzeild kan worden, ook niet wanneer het bedrijf een gerechtelijk bevel daartoe ontvangt. Ook geeft het bedrijf aan dat het geen data deelt met buitenlandse overheden, omdat dat illegaal is volgens de Zwitserse wetgeving. "Wij houden ons alleen aan de wettelijk bindende bevelen van de Zwitserse autoriteiten", aldus Proton.

Protonmail houdt sinds 2014 een transparantierapport bij, waarin het bedrijf beschrijft hoe het omgaat met gerechtelijke bevelen. Het aantal bevelen van de Zwitserse overheid aan Protonmail is sinds 2017 opgelopen van 13 naar 3572. In 2017 tekende het bedrijf bezwaar aan tegen drie verzoeken; vorig jaar lag dat aantal op 750.

In de blogpost schrijft Protonmail verder dat het bedrijf ook een Tor-website aanbiedt die anonieme toegang tot de e-maildienst moet faciliteren. Proton gaat in de toekomst ook duidelijker aangeven in welke gevallen het bedrijf moet meegaan met verzoeken van autoriteiten op zijn website.

Een statement van Protonmail

Door Daan van Monsjou

Redacteur

06-09-2021 • 19:02

181 Linkedin

Submitter: Jerryy

Reacties (181)

181
174
97
13
1
48
Wijzig sortering
Hier de reactie van ProtonMail.

ProtonMail Team

Hi everyone, Proton team here. We are also deeply concerned about this case. In the interest of transparency, here's some more context.

In this case, Proton received a legally binding order from the Swiss Federal Department of Justice which we are obligated to comply with. There was no possibility to appeal or fight this particular request because an act contrary to Swiss law did in fact take place (and this was also the final determination of the Federal Department of Justice which does a legal review of each case).

Details about how we handle Swiss law enforcement requests can found in our transparency report: https://protonmail.com/blog/transparency-report/

Transparency with the user community is extremely important to us and we have been publishing a transparency report since 2015.

As detailed in our transparency report, our published threat model, and also our privacy policy, under Swiss law, Proton can be forced to collect info on accounts belonging to users under Swiss criminal investigation. This is obviously not done by default, but only if Proton gets a legal order for a specific account. Under no circumstances however, can our encryption be bypassed, meaning emails, attachments, calendars, files, etc, cannot be compromised by legal orders.

What does this mean for users?

First, unlike other providers, ProtonMail does fight on behalf of users. Few people know this (it's in our transparency report), but we actually fought over 700 cases in 2020 alone, which is a huge amount. This particular case however could not be fought.

Second, ProtonMail is one of the only email providers that provides a Tor onion site for anonymous access. This allows users to connect to ProtonMail through the Tor anonymity network. You can find more information here: protonmail.com/tor

Third, no matter what service you use, unless it is based 15 miles offshore in international waters, the company will have to comply with the law. This case does illustrate one benefit of ProtonMail's Swiss jurisdiction, as no less than 3 authorities in 2 countries were required to approve the request, which is a much higher bar than most other jurisdictions. Under Swiss law, it is also obligatory for the suspect to be notified that their data was requested.

The prosecution in this case seems quite aggressive. Unfortunately, this is a pattern we have increasingly seen in recent years around the world (for example in France where terror laws are inappropriately used). We will continue to campaign against such laws and abuses.

We've shared further clarifications about this situation here: https://protonmail.com/blog/climate-activist-arrest/
Addendum
We would like to provide the following clarifications:

Under no circumstances can our encryption be bypassed, meaning emails, attachments, calendars, files, etc. cannot be compromised by legal orders.
ProtonMail does not give data to foreign governments; that’s illegal under Article 271 of the Swiss Criminal code. We only comply with legally binding orders from Swiss authorities.
Swiss authorities will only approve requests which meet Swiss legal standards (the only law that matters is Swiss law)
Transparency with our user community is extremely important to us. Since 2015, we have published a transparency report publicizing how we handle Swiss law enforcement requests: https://protonmail.com/blog/transparency-report/
Under Swiss law, it is obligatory for a user to be notified if a third party makes a request for their private data and such data is to be used in a criminal proceeding. More information can be found here.
Under current Swiss law, email and VPN are treated differently, and ProtonVPN cannot be compelled to log user data.
Due to Proton’s strict privacy, we do not know the identity of our users, and at no point were we aware that the targeted users were climate activists. We only know that the order for data from the Swiss government came through channels typically reserved for serious crimes.
There was no legal possibility to resist or fight this particular request.
https://protonmail.com/blog/climate-activist-arrest/
Conclusie gebruik proton mail altijd met een vpn uit een landje dat geen info deelt als je echt anoniem wil blijven. Of gebruik proton mail via openbare wifi en dan vpn als je nog anoniemer wil blijven.
En beter niet Proton VPN?
Wat is beste manier om te voorkopen dat je per ongeluk (vergeten tabblad, auto-complete op verkeerde letter, ?) automatisch inlogt op een (mail)server als je normaal (niet via je VPN) surft?
kun je een DNS blacklist/hostfile per adapter maken, zodat je alleen via virtuele VPN adapter verbinding kan maken? Of is dit door DNS-over-HTTPS achterhaald?

PS: Misschien is het omgekeerde belangrijker, dat op het moment van inloggen op ProtonMail je niet tegelijk ook inlogt op Microsoft, Google, Facebook etc, zodat je IP alsnog gelinked kan worden? (misschien niet direct, maar als je op die 3 sites tegelijk zit met actie op een 3e site op 5 momenten op verschillende VPN adressen, begint het dan statistisch relevant te worden?)

[Reactie gewijzigd door mbb op 8 september 2021 00:25]

Met Tor browser op protonmail inloggen ?
ja zet vooral jezelf in de schijnwerpers door tor te gebruiken.
https://www.propublica.or...nd-on-the-nsas-watch-list
En welk land mag dat dan wel zijn?
Protonmail is juist om die reden in Zwitserland gaan zitten.
En dat blijkt dus niet te werken.
Kan proton niet het IP adres zien waarmee je inlogt op hun VPN?
Ja maar goed vpn dienst logt geen ip's dus dan slaat het spoor normaal.
unless it is based 15 miles offshore in international waters
is dat echt zo? Dan zou het wat zijn om een permanent datacenter op zee te hebben!
The Pirate Bay heeft dat jaren geleden als 'ns min of meer overwogen: https://en.wikipedia.org/...f_Sealand#Attempted_sales
Probleem als je in internationale wateren een datacenter uitbaat is waar je je bandbreedte vandaan gaat halen. Dat gaat ergens naar een land toe. Als je illegale dingen in dat datacenter doet zal je aanbieder van internet in het land waar ie zit waarschijnlijk wel de opdracht krijgen actie te ondernemen.
Ah joh, gewoon even een kabel die in de oceaan ligt doorknippen, switchje er tussen en je kunt doen wat je wilt. Die gaan ze niet afsluiten!

Maar inderdaad, je zal altijd afhankelijk zijn van een land. En daarmee met een wet. Je kunt als bedrijf nog zo hard roepen wat je wilt, maar je staat niet boven de wet.
Giganten als Facebook en Twitter wel.
Nope, die staan niet boven de wet, die kunnen wetgevers voldoende onder druk zetten om de wetten bij te buigen. Datzelfde geldt voor andere grote bedrijven, type Shell, en anders hebben ze voldoende middelen om het vervolgen van fouten op z'n minst heel langzaam te laten gaan.
Het is maar hoe je het bekijkt. Jouw omschrijving lees ik als boven de wet staan.
Ja jij schrijft percies hoe/wat ik bedoel. En wat @Juggernaut1987 zegt, zo interpreteer ik dat.
gewoon even een kabel die in de oceaan ligt doorknippen, switchje er tussen en je kunt doen wat je wilt. Die gaan ze niet afsluiten!
Zodra je 15 mijl (24 km) uit de kust bent is het water meestal al behoorlijk diep; "even" rotzooien met zo'n kabel zou best lastig kunnen worden. Het doen zonder dat de eigenaar merkt dat de kabel een tijdje onderbroken wordt lijkt me nog vele malen lastiger.
Maar goed, stel dat je het voor elkaar krijgt. Dan gaat het een tijdje goed, maar hoelang duurt het voordat duidelijk wordt op welke kabel je ingeprikt hebt? Want laten we eerlijk zijn, zodra we op dit punt zijn aangekomen, dan heb je ruzie met meerdere grote politie-organisaties die heel erg veel interesse in je hebben.

En je vergeet het allerbelangrijkste detail: als je onder de jurisdictie van geen enkel land valt, dan kun je ook bij geen enkel land aanspraak maken op bescherming; niet in de juridische zin, niet in de fysieke zin. "Kom hier al je illegale shit doen, want wij geven alle landen een dikke vinger" is een prachtige slogan... totdat de mariniers van een willekeurig land een nog veel dikkere vinger blijken te hebben.
Probleem als je in internationale wateren een datacenter uitbaat is waar je je bandbreedte vandaan gaat halen. Dat gaat ergens naar een land toe. Als je illegale dingen in dat datacenter doet zal je aanbieder van internet in het land waar ie zit waarschijnlijk wel de opdracht krijgen actie te ondernemen.
Zeekabel/satelliet en enkel diensten aanbieden binnen (bijvoorbeeld) Tor is een goed begin om dergelijke acties te voorkomen.

[Reactie gewijzigd door The Zep Man op 6 september 2021 22:29]

[...]
Zeekabel/satelliet en enkel diensten aanbieden binnen (bijvoorbeeld) Tor is een goed begin om dergelijke acties te voorkomen.
Een zeekabel is best prijzig... En zo ook satelieten.
Kun jij me vertellen hoeveel een (encrypted) mailadresje gaat kosten (ongeveer) op het moment dat je dat platform hebt ingericht?
10 starlink schotels? :+
Internationale wateren liggen wel een behoorlijk stuk uit de kust, zie ook https://nl.m.wikipedia.org/wiki/Territoriale_wateren en https://nl.m.wikipedia.org/wiki/Internationale_wateren. Zo'n lange kabel loopt dan mogelijk ook nog langs andere landen. Lijkt met praktisch nog een dingetje, onderhoud, stroom en andere voorzieningen. En voor Zwitserland/Proton volslagen irrelevant.

Internationale wateren en recht is ook nog een dingetje, namelijk wetteloosheid.

[Reactie gewijzigd door kdekker op 6 september 2021 22:37]

Nou, het bestaat, Google maar eens op "offshore hosting". Maar bedenk wel: Je hoeft je dan niet aan wetten te houden, maar hebt ook geen bescherming van die wetten! Als iemand een legereenheid stuurt om jouw servers een kopje kleiner te maken, weinig wat je er tegen kunt doen.
Ach, de meeste servers zijn al headless, de schade zal dus meevallen.
Deze is wel leuk! +1 van mij! :+

Jammer dat Tweakers geen humor meer heeft
Zo simpel is dat nu ook weer niet. Dat zou betekenen dat je zonder gevolgen ieder schip in internationale wateren zou kunnen plunderen. Er geldt geen recht van een bepaald land, maar het is er geen anarchie.
Dat klopt, er zijn zeerechtverdragen en die stellen dat alles wat onder een bepaalde vlag valt, onder wetgeving van dat land valt. Iemand die een schip onder Nederlandse vlag aanvalt, pleegt dus een misdrijf onder Nederlands recht.

Voor een server op de zeebodem zou je eventueel nog iets kunnen doen met exclusieve economische zones waar landen recht op hebben: Dat verdeelt bijvoorbeeld de olie- en gasreserves in de Noordzee tussen de aanliggende landen. Je kunt stellen dat een server op de zeebodem economische activiteit is en om die reden onder het recht van een staat valt.

Maar als je je ook niet op een EEZ kunt beroepen, dan wordt rechtsbescherming heel lastig.

[Reactie gewijzigd door dmantione op 7 september 2021 13:29]

Je hebt echter nog steeds een verbinding met het internet nodig en die kan men uiteindelijk ook weer blokkeren als je helemaal offshore zit.
Daarmee wordt delokalisatie bedoelt, het heeft niets nodig met je datacenter in bijvoorbeeld de oceaan te plaatsen. Als jij als Nederlander je site host in HongKong of Amerika dan host jij offshore.

[Reactie gewijzigd door Groningerkoek op 7 september 2021 13:11]

Inderdaad. Als je maar genoeg van die Starlink satellieten lanceert, kun je er ongetwijfeld ook wel iets hosten.
Losstaande of het praktsich is of niet naast het kostenplaatje, data centers in de ruimte zouden best mogelijk zijn.
Afgezien van de technische 'uitdagingen' waar je dan mee zit, ook op het open, internationale water zijn er bepaalde wetten en afspraken van toepassing - die lang niet altijd duidelijk zijn en soms tot controverse leiden.

Ook heb je te maken met piraterij. Niet het soort dat een isotje download, maar bewapend tuig.

Je zou eens kunnen kijken wat het doet om een datacenter de ruimte in te schieten. Het nieuwe "bulletproof, offshore hosting".
Met Musk's internet en zonne power moet dit toch zeker een mogelijkheid worden.. Drijvende nodes haha..
De enige reden dat ik ben overgestapt naar Protonmail is de constante profilering van Google, niet om zaken te doen die tegenstrijdig zijn met de wet. Een wereld van verschil en dat kun je ook niet van Protonmail verwachten. Niets bijzonders lijkt me dus. Bovendien het opslaan van zaken bij een externe partij betekend altijd dat je akkoord gaat met hun voorwaarden.
100% eens. Wat een shit-show van verontwaardigde reacties.

Op basis van de reacties hier blijf ik me verbazen over de naïviteit van sommigen velen. Protonmail legt veel barrières om je privacy te garanderen, maar uiteraard is dat niet sluitend. Blijkbaar zijn niet alle tweakers even geïnformeerd. Het staat gewoon letterlijk in de privacy policy wat, wanneer en hoe ze loggen. Dus je schrijft je in voor een email-service owv privacy redenen maar je leest de privacy policy niet? Sorry maar dan heb je geen argumenten en ben je in mijn ogen met statements als "tot zover protonmail" of "ik zie geen enkele reden meer om protonmail te gebruiken" niet geloofwaardig.

Hoe kan je nu verbaast zijn dat een bedrijf dat zich op een bepaald grondgebied bevind zich moet houden aan de lokale wetgeving? Dit is als een auto kopen en klagen bij de garagist vanwege een boete aan 200km/h en je verontwaardigd staat te briezen aan de receptie als een gek met de auto-brochure in de hand waarin staat dat jouw auto toch een snelheidsbegrenzer heeft. Bedrog! Oplichterij! Nooit meer koop ik hier een auto!

Er zijn maar 2 manieren om de wetgeving bewust te omzeilen en echt private te zijn (en nee dat is niet op infrastructuur dat gedeeld is en uitgebaat door een andere partij):

1) Eigen mailserver opzetten op een server bij je thuis. Veel succes met het configureren zodat al je mails niet als spam worden getagged. En zelfs dan zal je nog moeten voldoen aan de wetgeving als er bvb een huiszoekingsbevel van de onderzoeksrechter uitgevaardigd wordt. Maar dan kan je de hard drives nog snel door een shredder halen. EDIT: De discussie gaat natuurlijk niet over de data maar over het loggen van het IP-adres van de mail-client.
2) Een maildienst afnemen die gehost word op een booreiland of iets dergelijk in internationale wateren. Niet 100% zeker maar dan kunnen ze vermoed ik nog steeds "binnenvallen" op een vijandige manier omdat je je in internationale wateren bevind. Uiteraard mag je je verdedigen. Ook hier veel succes ;-)

[Reactie gewijzigd door cwegh op 6 september 2021 20:56]

Zelf hosten heeft uiteindelijk niet zoveel zin, tenzij je ook alleen maar naar jezelf mailt.

Het probleem is juist dat je naar anderen mailt. Als de overheidsdiensten je eenmaal op de korrel hebben, dan is het niet zo heel moeilijk om een bevel te krijgen waarbij de hele keten gemonitored gaat worden.
Zelf hosten heeft uiteindelijk niet zoveel zin, tenzij je ook alleen maar naar jezelf mailt.
Huh?

Goed, dan zal ik maar stoppen met mijn mailserver (op mijn eigen computer, bij mij thuis), die ik al zo'n 15 jaar bedrijfsmatig gebruik.
Het probleem is juist dat je naar anderen mailt.
Dat is inderdaad waar. Nou ja, je mail server transporteert mail naar andere mail servers. Deze accepteren de mail die van jouw mail server af komt of niet. Dat is aan de mail server beheerder aan de ontvangende kant. Nu is dat een hoop gedoe voor een mail beheerder.

Vandaar dat er nieuwe methodes worden om ingezet om alleen mail berichten die van een te controleren bron komt te distributeren. De ontvangende mail server ontvangt de mail berichten wel, maar controleert dan eerst of het een van een domein af komt dat te vertrouwen is. Is dat het geval? Dan wordt de mail die jouw eigen mail server uitspuwt nog altijd gedistributeerd naar de uiteindelijke Inbox van de ontvanger.

Probleem is wel dat het bijhouden van een mail server wel werk kost. En alhoewel het geen 'rocket surgery' is, zou ik het nou ook weer niet makkelijk willen noemen. Het is meer werk dan de meesten ervoor over hebben.

En zijn er natuurlijk ook nog de onafhankelijke anti-spam organizaties. Daarvan zijn er een heleboel, en het aantal varieert per continent. In (en voor) Europa bestaan er een hele hoop. En niet allemaal even koosjer. Zo is er een Zwitserse anti-spam organizatie, welke hele clusters van IP adressen markeert als spammer als er maar een IP adres in dat cluster zich slecht gedraagt. Is jouw domein (of statisch IP adres) daarvan het slachtoffer, dan zijn zij niet de beroerste om voor 25 Zwitserse frank per maand jouw domein/statische IP adres niet als spoammer te markeren. Een praktijk, goed afgekeken van Maffia films.

Door zo'n spam markering gaat je algemene kwaliteitsscore wel naar beneden en dat kan voor ontvangende mail servers wel een probleem zijn.Zeker als de ontvangende mail server (ook) van spam lijsten gebruik maakt. Sommige mail servers maken gebruik van 1 lijst, Anderen maken gebruik van meerdere lijsten. Als de beheerder aldaar zijn/haar mailserver zo instelt dat alleen mail berichten van servers met een perfecte (100) score daadwerkelijk mogen worden gedistributeerd, dan heb je ineens wel een probleem als verzendende partij. Net zoals je als verzender een probleem hebt als je ten onrechte op een spamlijst terecht komt.

Bedrijven als Google, Outlook.com enz. krijgen een hoop crap toegezonden en het kost een heleboel moeite om het kaf van het koren te scheiden. Daar kan ik wel begrip voor opbrengen. Dat zij dan steeds hogere eisen stellen aan mail servers waarvan zij mail ontvangen, vind ik ook niet vreemd.

Maar dat laat bij de gemiddelde mail gebruiker dus wel de indruk achter dat een eigen mail server dan maar niks is. Daar ben ik het niet mee eens. Het bijhouden van een mail server zou ik dus niet als makkelijk of leuk willen omschrijven. Maar wel interessant en het is zeker nuttig.
Ze willen het IP adres van de afzender weten!
Als je zelf host dan kunnen ze toch het IP van de server achterhalen 8)7
Je komt bij dezelfde persoon uit. In dit geval kwamen ze bij Protonmail uit en moesten ze extra stappen ondernemen om de identiteit (in dit geval het ip adres) van de afzender te achterhalen. Bij zelf hosten hoeven ze die extra stap niet te nemen. ;)

Dus als je dan je ip geheim wilt houden, moet je niet naar andere servers mailen.

[Reactie gewijzigd door SPee op 7 september 2021 13:12]

En jouw IP adres word niet gelogd als jij een webmail diesnt bezoekt? Of dat je eerst verbinding maakt met een VPN, en daarne versleutelde conent over en weer stuurt naar een web mail dienst?

Meta data zoals IP adres en datum/tijd worden namelijk nooit versleuteld. Als dat wel zou geburen, dan stoppen de TCP/IP protocols onmiddelijk met functioneren.

Jouw ISP weet welk IP adres is gekoppeld aan jouw adres. Jouw ISP weet wanneer je contact legt met whatever website/internet-dienst. Als je via VPN contact maakt met andere websites, dan weet je ISP nadat je contact hebt gemaakt met de VPN dienst niets meer., maar je VPN provider weet dat wel.

Hetzelfde geld voor elke dienst die je afneemt op internet. dus ook Proton mail. Bekijk de beschrijving van de TCP/IP protocollen eens goed en je zal al gauw beseffen dat de meeste beloften van internet diensten behoorlijk hol zijn.

Maar ja, die beloften zorgen er wel voor dat jij maandelijks een bedrag aan ze betaald...

Als een opsporingsdienst deze meta data wil achterhalen middels een (internationaal) gerechtelijk bevel, dan is dat niet zonder reden en kan je er al vrij zeker van zijn dat deze meta data als bevestiging van al gevonden bewijs zal worden gebruikt, niet om bewijs te vinden.
_/-\o_
Optie 1 lijkt me niet aan te raden als je inderdaad wetten wilt (kunnen) overtreden. Als je dus inderdaad een Ex-Parte aan je broek krijgt, zoals piratenclub stichting BREIN pleegt te doen, wordt jij pas geinformeerd nadat de rechter de uitspraak heeft gedaan en de invallende boevenbende politie aan je deur staat, veel succes met shredden, want als je niet open doet, doen ze in zo'n geval gewoon de deur inbeuken.

Optie 2 lijkt me een betere, maar uiteraard heb je geen bescherming tenzij je die zelf regelt, dus plaats wat luchtafweer-raketten (Patriots of Sussische S-400's) en huisvest een legertje soldaten waarvoor de USA opzij gaan, evt plaats je wat ICBM's met kernkoppen.
of gewoon geen mail meer gebruiken. Mail is niet gemaakt voor privacy doeleinde.
Dat doen ze nog steeds wel hoor, of stuur je geen mail meer naar andere adressen? Of bestel je niks online met dat emailadres?
Zonder een politieke discussie te starten, iemand een idee van wat de persoon verdacht wordt? Want activist zijn is nu niet meteen verboden in West-Europa.
Het heeft verband met deze zaak in Parijs:
https://paris-luttes.info...inte-marthe-15258?lang=fr

Kraken is een ernstig misdrijf in Frankrijk, ik kan verder geen geweldsdelicten vinden die hierbij passen.
Aanklacht is diefstal en inbraak. (we noemen het geen kraken als de gebouwen gewoon in gebruik zijn)
Waarom denkt iedereen dat als je een 'klimaat activist' bent het opeens onmogelijk is dat je een crimineel bent... Hoeveel klimaat activisten zijn (of waren) ook eco-terrorist? Activisme kan prima binnen de wet. De vraag is hier zelfs of de gemeende criminaliteit zelfs te maken heeft met het klimaat en activisme?
Dat beweer ik toch niet, alleen worden er in het artikel enkel gesproken over een klimaatactivist en niet over een kraker zoals @Arnoud Engelfriet heeft verduidelijkt.

Dat is toch wel een belangrijk detail, want nu komt het over alsof de persoon is opgepakt op verdenking van klimaatactivisme.
onschuldig tot bewezen schuldig, ook in Frankrijk -> vermoedelijke inbreker ;-)
Volgens mij lees je iets dat er niet staat.

Het artikel meldt niets anders dan dat het een 'klimaatactivist' betreft. @IStealYourGun vraagt of iemand weet waar de persoon in kwestie wél van verdacht wordt.

Het is voor zover we kunnen weten niet eens zo dat alléén @IStealYourGun denkt dat het onmogelijk is om zowel crimineel als klimaatactivist te zijn, laat staan dat *iedereen* dat lijkt te denken. De verdere reacties hierboven en onder staan ook bol van de nuance.

[Reactie gewijzigd door Sander_1988 op 6 september 2021 21:53]

Directe reactie protonmail op reddit

https://www.reddit.com/r/...after_protonmail/hbqha63/

Valt allemaal reuze mee.

[Reactie gewijzigd door Hemingr op 6 september 2021 19:13]

Valt allemaal reuze mee.
...dat moet je maar even uitleggen dan. Er staat dat ze vaak in de clinch liggen met de wet om geen persoonsgegevens te hoeven afstaan, en dat deze keer hebben verloren (edit: ik lees net zelfs 2822 keer dit soort bevelen hebben opgevolgd). Dat is dan toch per definitie een verloren zaak? Iemand waarde aan privacy en veiligheid hecht vindt zit niet op een 1-op-700 kans te wachten dat zijn of haar leven voorbij is. Dan voldoet Protonmail dus gewoon niet.

Sowieso zouden mensen die om wat voor reden dan ook privacy and beveiliging willen waarborgen geen e-mail moeten gebruiken, ook al ligt het voor de hand als defacto communicatiemiddel.

[Reactie gewijzigd door nst6ldr op 6 september 2021 19:27]

Geen enkel bedrijf kan zich in een beschaafd land aan de geldende wetgeving en rechterlijke macht onttrekken. Dan moet je dus kiezen voor een land waarvan je weet dat er voldoende bescherming in de wetgeving terug te vinden is.
Of je leest de conclusie van mijn betoog: gebruik geen e-mail voor zaken die het daglicht niet kunnen verdragen.

Wat dat betreft is Protonmail als een Marvel held die alleen onzichtbaar kan worden wanneer niemand kijkt.
Dan ben je met geen enkele vorm van telecommunicatie veilig want elke vorm bevat metadata.

Protonmailbiedt zelf ook weer oplossingen maar je moet er wel gebruik van maken. En de inhoud kan niet gelezen worden. Veel veiliger ga je het nooit kunnen doen.

Leuk zo een conclusie van dat je het nietloet gebruiken. Maar realistisch is het niet in deze moderne tijden.
Leuk zo een conclusie van dat je het nietloet gebruiken. Maar realistisch is het niet in deze moderne tijden.
Er zijn genoeg alternatieven, zo heeft de doelgroep die ik noem al een oog op Matrix voor onderlinge communicatie, worden digitale dead-drops gedaan met Pastebin (zonder account), en zijn er anonieme killswitch diensten die als pressure middel/verzekering dienen (in combinatie met Pastebin). En metadata ga je te lijf met burners natuurlijk.

Wat ik elders al stelde: de computer moet de mens dienen, niet andersom. Ga e-mail zien als een combinatie use-cases en kijk of die elders zijn onder te brengen (dat zijn ze). Dat je met Matrix niet je huisbaas kan beantwoorden of de link in je registratie e-mail van je bank kan aanklikken, ja dat snap ik, zou ook een gekke verwachting zijn. Mensen die een reden hebben om een dienst als Protonmail te willen gebruiken zouden die zaken juist moeten scheiden, net zo goed als je met je werk en privé e-mail zou doen.
Digitale dead-drops?

Hahahahah, dat is een goeie. Als je denkt dat dit uberhaupt mogelijk is, dan heb je werkelijk geen idee hoe de TCP/IP protocollen in staat zijn om netwerk pakketten te versturen. Het huidige internet zou niet eens kunnen bestaan zonder deze protocollen.

Ja, de inhoud van de netwerkpakketjes mag dan wel versleuteld zijn, de meta data, zoals IP adres, tijd/datum enz. is dat allemaal niet. Want als dat zou gebeuren, dan komt geen enkel netwerkpakketje meer aan.

Deze meta-data was de gewenste informatie waarvoor het gerechtelijke bevel was uitgeschreven. Dat had ik in ieder geval uit het artikel begrepen. Aan een verzoek hoef je geen gehoor te geven. Een bevel is heel wat anders.

Het verschil in concept zou je allang duidelijk zijn geweest, mits je enige tijd in militaire dienst had doorgebracht. Als we het hebben over een organisatie die het concept 'bevel' serieus neemt, dan zijn het de strijdmachten wel. Zelf bijna 4 jaar aan militaire dienstplicht achter de rug, ik verwacht daardoor enigzins bekend te zijn met het verschil.

Email is redelijk makkelijk om te auditen. En je hebt (veel) meer mogelijkheden om je mail te dorzoeken. Met mijn mailarchief van 15 jaar is dde doorzoekbaarheid redelijk belangrijk geworden. Iets waar "chatters" zoals Skype, Teams, Slack, Matrix toch het onderspit in moete delven. Dat wil niet zeggen dat deze programmas/apps niet nuttig zijn, want dat zijn ze zeker wel. Maar niet voor alle communicatie.

Mail is oud, gebaseerd op oude ideeen, maakt gebruik van oude protocollen. Toch heeft het een langere adem dan iedereen had verwacht. Mail is zeker niet geschikt voor alle communicatie. Je hebt zeker gelijk dat de algemene gebruiker te weinig doet om prive en zakelijke communicatie gescheiden te houden. En de middelen van communicatie niet altijd even goed toepast.
Als je echt niet gepakt wil kunnen worden, kun je er ook nog steeds voor kiezen om gewoon geen zaken te doen die het daglicht niet kunnen verdragen.
Daglicht verdragen is bij idealisme nogal grijs. Beetje ongehoorzaamheid of boos protest is nog niet gelijk een terrorist of drugsdealer. Wat heeft deze klimaatactivist gedaan?
Daar zal een rechter uiteindelijk moeten over oordelen. Dat er een “gerechtelijk bevel” is, betekent nog niet dat er een veroordeling is.
Klokkenluiders, advocaten en journalisten hebben we nodig. Ook politie- en defensiemedewerkers die onrecht binnen de organisatie aan het daglicht brengen.

Als al die beroepen niet meer mogen bestaan omdat jij ze gelijk stelt aan criminaliteit, dan zitten we pas écht in de problemen.

Dat terzijde: ongeacht wat jij van die beroepen of morele plicht vindt, Protonmail pretendeert die mensen te kunnen bedienen en verdient daar goed aan, dat is verwerpelijk. Je kan vinden van die stelling wat je wilt - hoe onweerlegbaar een gerechtelijk bevel ook is - Protonmail hoeft zich niet te verkopen als een dienstverlener van discrete correspondentie.
Welke er niet zijn tot zover ik weet. Hooguit misschien dat je in 'failed states' kan 'onderduiken' door een gebrek aan een politie om aan opsporing te doen, maar vaak is de infrastructuur daar zodanig gebrekkig dat op afstand hacken dan ook weer te doen is voor buitenlandse politie- of inlichtingendienstenspecialisten.
Geen enkel bedrijf kan zich in een beschaafd land aan de geldende wetgeving en rechterlijke macht onttrekken.
Dat kan prima want georganiseerde misdaad is best wel een ding. Natuurlijk gaan dingen zoals vaste lasten en inkomsten dan moeilijker maar het kan prima.
Zolang er geen criminele activiteiten plaatsvinden dan is iemands leven echt niet 'voorbij'.

Ik vind privacy en beveiling opzich ook wel belangrijk maar voor de overheid heb ik (voor zover ik weet) niks te vrezen.
Ik maak me dan meer zorgen om bedrijven zoals Facebook, Google en Apple.
Zolang er geen criminele activiteiten plaatsvinden dan is iemands leven echt niet 'voorbij'.
Klokkenluiders, advocaten, mensen die als getuigen bij interne onderzoeken bij justitie betrokken zijn, en journalisten zijn niet allemaal criminelen.
en dat zijn precies de mensen waar een rechter geen gerechtelijk bevel voor zou uitschrijven(tenzij ze een crimineel bijbaantje hebben)
die hebben dus niks te vrezen.

klokkenluiders die beschermde zwitserse staatsgeheimen publiekelijk maken zijn de enige die iets te vrezen hebben, aangezien ze eventueel zwitserse antispionagewetten breken bij het delen van die geheimen(maar dan zijn ze dus wel criminelen volgens de zwitserse wet)

advocaten zijn bij wet beschermd tegen afluisteren bij communicatie met cliënten.

die getuigen werken al mee aan een onderzoek, een rechter gaat dat onderzoek niet in gevaar brengen door een belangrijke getuige als crimineel te bestempelen.

en een rechter gaat privacyschending van die journalist niet goedkeuren zonder bewijs van crimineel gedrag.
en dat zijn precies de mensen waar een rechter geen gerechtelijk bevel voor zou uitschrijven(tenzij ze een crimineel bijbaantje hebben)
die hebben dus niks te vrezen.
Dat is dus onzin. Er zijn genoeg journalisten die gegijzeld worden door de rechtbank, om zodoende de bronnen van de journalist prijs te geven. Ook in Nederland ja.
Heb je daar voorbeelden van in Nederland? Je zegt 'genoeg', maar ik meen me te herinneren dat er een jaar of twee geleden een zaak was in die trant, waar toen de hele journalistiek verbolgen over was (waardoor ik aanneem dat het heel uitzonderlijk is hier), maar die heeft succesvol een beroep gedaan op zijn verschoningsrecht. Gevonden na even googelen: https://www.tubantia.nl/b...robert-bas-vrij~abf30362/

Zijn er zoveel van die gevallen? In het buitenland kan ik me voorstellen hoor.

[Reactie gewijzigd door Ultimus XI op 6 september 2021 21:48]

Nou ja, Robert Bas is dus inderdaad 1 van die gevallen. Maar daarvoor zijn er ook meerdere journalisten geweest die uiteindelijk meerdere dagen of soms zelfs wel weken in het gevang zijn gegooid door een Nederlands rechter.
Gelukkig is de wetgeving op dit punt aangepast.
Nuance: door een onderzoeksrechter (rechterlijk commissaris heet dat in Nederland denk ik).

Vervelend, maar een onderzoeksrechter voert een onderzoek, een rechter oordeelt en zal indien er voldoende bewijzen zijn, veroordelen, of anders vrijspreken.

Een onderzoeksrechter die iemand “weken in de gevangenis gooit”, dat is zelden gezien in zaken waar er geen zware aanwijzingen zijn voor zeer zware feiten, en als het wel gezien is, dan is dat meestal geen goede zaak geweest voor het CV van de betreffende onderzoeksrechter…

[Reactie gewijzigd door Myaimistrue op 6 september 2021 22:43]

Dat is niet waar. Lekken van staatsgeheimen is bijvoorbeeld illegaal. En daar zijn met regelmaat ook klokkenluiders en journalisten bij betrokken.
Hoe leg je dan een rechterlijk bevel naast je neer?
Gewoon niet uitvoeren, dit kan mogelijk wel consequenties hebben zoals een fikse boete.

In 2010 werd bijv een uitzending door SBS6 over Koos H. verboden door de rechter op straffe van een dwangsom 15.000€, maar werd toch uitgezonden.
Als die boete komt bij elke gebruiker is dat een kostenpost van 42 miljoen euro. Omdat het een (mogelijk) crimineel onderzoek betreft, kun je er donder op zetten dat er andere pressiemiddelen gebruikt gaan worden, zoals hogere boetes en anders gevangenisstraf.
Dit ligt wat lastiger dan een wel of niet uitzenden van en programma, in Zwitserland doen we niet zo moeilijk waar het aankomt op het niet opvolgen van gerechtelijke bevelen. Als jij ons niet geeft wat op jouw servers staat, dan komen we je servers wel ophalen en als je dienst dan platgaat is dat je eigen probleem. Dit naast andere gerechtelijke problemen die de bedrijfsvoering zullen bemoeilijken.
En daarom mijn betoog: gebruik geen e-mail voor zaken die je mogelijk in gevaar brengen.

IT en dienstverlening moet er zijn om mensen te voorzien in wat ze nodig hebben. De computer dient de mens en niet andersom. De 2822 mensen waarvan hun informatie is gelekt vinden het achteraf ook niet zo boeiend dat het bedrijf geen gerechtelijk bevel naast zich neer kunnen leggen, als ze dat hadden geweten hadden ze het namelijk niet gebruikt.
Als je je identiteit wil beschermen ligt die verantwoordelijkheid bij jezelf, niet bij je emailprovider. En dan nog, alle data is secure en niet recoverable zonder wachtwoord en tweede factor.

De verantwoordelijkheid voor die dataversleuteling ligt wel bij je emailprovider. Als er daar iets mis is mag je aankloppen.

Bridged VPN’s over publieke netwerken met gebruik van burners zonder sim, dat soort tactieken. Nooit op één paard wedden.
E-mail is toch überhaupt niet geschikt voor zulke communicatie? Het is bij normaal gebruik niet end-2-end encrypted, tenzij je bijvoorbeeld enkel binnen Protonmail communiceert.

Als je dat weet moet je dus via VPN inloggen op je Protonmail. Als je niet wil dat anderen weten dat je de brief verstuurd moet je niet de afzender erop zetten.

Overigens: waar wordt deze persoon eigenlijk van verdacht?
Ik ben net gestart met Protonmail met als enige doel om van Google af te zijn met Gmail.
Het is dus prima om af te stappen van andere mail providers.
Dus ze hebben ook een half jaar zijn gegevens gelogd op bevel van zwitserland.

Ik zie geen enkele reden meer om protonmail te gebruiken.
In een reactie onder de post kan je lezen dat ze de gebruiker hebben geïnformeerd dat er een verzoek was ontvangen voor zijn data. Zie https://www.reddit.com/r/...s/pil6xi/comment/hbs8zx6/
Deze info is pas verstrekt NA 6 MAAND, toen zwitserland genoeg data had.
Waar heb jij dat gevonden? Ik zie nergens staan dat ze de gebruiker pas na 6 maanden hebben geïnformeerd, alleen dat ze 6 maanden zijn gegevens hebben gelogd.
Ze hebben niet aan het begin van die 6 maand hem een berichtje gestuurd van "hoi, we zijn je activteiten aan het bewaren voor de zwitserse regering." Hij is dus 6 maand lang, in het geheim, in de gaten gehouden door de email-provider waar hij veilig dacht te zijn.
Nogmaals, waar staat dat?
In de reddit thread. Dit zeggen ze (team proton):
If we get a legal order regarding a specific account, we can be forced to monitor it. This is detailed in our transparency report linked above, and we recommend reading it for all the nuances. It is also in our privacy policy and terms of service, and our published threat model.
Switzerland, like nearly all of its European neighbors, has a de facto gag order on user notification.
Hier komt bij dat ze tot 6 maand lang data kunnen opslaan. Alles bij elkaar is het mogelijk dat hij een half jaar lang is bespioneerd door zwitserland.
Bedankt voor je reactie. Had het ook al gelezen dat er uitzonderingen zijn om de gebruiker te verwittigen van het verzoek.
Zonder reactie van de gebruiker blijft de termijn wanneer ze hem hebben ingelicht onduidelijk en kan het van gelijk tot 6 maanden zijn.
Als je identiteit je lief is, is vanaf een herleidbaar IP-adres je (hopelijk dedicated) e-mailadres gebruiken knetterstom.

Hoe dan ook, de data is nog steeds veilig. Dat die data nog steeds veilig is, is dan ook juist reden om nog steeds ProtonMail te gebruiken.
Je data is dus niet veilig. Ze hebben 6 maand lang alles gelogd. Deze data is afgegeven aan zwitserland.
Under no circumstances can our encryption be bypassed, meaning emails, attachments, calendars, files, etc. cannot be compromised by legal orders.

Metadata is alles wat ze kunnen ontsluiten.
Die metadata gaat dus over de mensen die je juist wil beschermen. Als journalist heb je dus niet aan proton.
Zeker wel, je moet je toegangspad veilig stellen. Dat toegangspad is je eigen verantwoordelijkheid, niet die van je emailprovider.
Maar bij proton kun je bv niet via TOR een account aanmaken. Ze blokeren alle veilige paden.
Ze zijn wel beriekbaar via TOR, maar je kunt niet enkel met TOR een account aanmaken. Probeer maar eens. Ze willen dan via een andere weg verificatie.
Heb net even een test gedaan. Maar je kunt gewoon een email aanmaken via Tor en je recovery email/ sms kun je overslaan.
Warning
You did not set a recovery method so account recovery is impossible if you forget your password. Proceed without recovery method?
Dus ben benieuwd hoe je aan deze informatie komt.?

Daarnaast kun je gewoon betalen met een crypto https://protonmail.com/su...base/paying-with-bitcoin/. Wel eerst een (anonieme) gratis account maken en dan kun je upgraden en betalen via BTC

Dus om een anoniem protonaccount te krijgen, is niet heel ingewikkeld. Vraagt wel discipline en iets voorbereiding.

[Reactie gewijzigd door korenpc op 6 september 2021 22:20]

als google captcha werkt in tor (wat je nodig hebt om account aan te maken) Dan ben je niet anoniem een account aan het aanmaken.
leg uit?

Want captcha kan de tor-relay terugleiden naar mijn eigen IP? als dat zozou zijn dan is tor gehacked en was er vast iets meer gehoor aangegeven.
je bent niet bekent wat voor data captcha allemaal verzameld?
Het is niet zomaar een puzzeltje die je moet oplossen.
Nee dat wist ik niet. Welke persoonlijke data kunnen ze verzamelen via een tor verbinding, naar een anoniem mail adres,?
Dat ze het zeggen betekend niet dat het waar is. De zin zoals die daar staat is pertinente onzin.

ProtonMail kan morgen een nieuwe versie van de app uitbrengen die alle content zonder encryptie upload naar een of andere server. Hetzelfde geld voor alle andere apps die encryptie (al dan niet end-to-end) beloven.

De meerwaarde die dit soort diensten bieden is dat jouw berichten niet bij de eerste de beste hack of lek wereldkundig gemaakt worden. (En daarom zijn ze nog steeds aan te raden.) Maar aan overheidsdiensten ontkom je er niet mee.
En ook hier geldt, nooit op één paard wedden.

Hoewel de situatie je beschrijft wel heel ernstig aan de stoelpoten van PGP zaagt en wel iets meer voeten in de aarde heeft dan je hier doet voorkomen, is de oplossing vrij eenvoudig: versleutel hetgeen je wil delen, maak een concept-mail en je partner in crime kan inloggen op hetzelfde account, de tekst elders overnemen en vervolgens ontsleutelen.

Zijn antwoord vervangt het bestaande concept. Er gaat nimmer data elders heen en alleen het allerlaatste bericht is te achterhalen mocht je gecompromitteerd worden.

Als anonimiteit en privacy je ultieme
doel is, kun je bij ProtonMail fantastisch beginnen, maar het kan natuurlijk beter.

Ook voor @Freekers
Maar als Proton monitoring voor een specifieke user kan inschakelen, wat ze dus op verzoek van de autoriteiten hebben gedaan, wie zegt dat ze dan niet nog meer kunnen loggen dan enkel IP, device type en metadata? Standaard kan het wel zo zijn dat de keys private zijn en end-to-end versleuteld, maar voor hetzelfde geldt kunnen ze ook hier een uitzondering per account maken op aanvraag van autoriteiten.
er zijn geen methoden om een encryptie te kraken? Ik denk dat je ze nog steeds kan brute forcen, als je genoeg tijd en materiaal hebt. Weinig waarschijnlijk, maar
Under no circumstances can our encryption be bypassed, meaning emails, attachments, calendars, files, etc. cannot be compromised by legal orders.
lijk me eerder te vertellen dat ze geen decryptiesleutel kunnen delen.

Wat het gerecht en hun informatica specialisten er mee doen is een ander.
Bypassing betekent zonder sleutel toegang krijgen tot naar mijn idee. Dat is met PGP voor zover bekend in de cryptografie onmogelijk.

Wat natuurlijk wel kan is dat je een wachtwoord met ontoereikende entropie gebruikt en een tweede factor die niet secure genoeg is, of hem überhaupt niet gebruikt. In dat geval is ontsleuteling mogelijk, maar dat valt naar mijn idee geenszins onder bypassing.

Gebruik een gegenereerde pass phrase van minimaal 9 woorden en een hardwarekey en de kans is bij benadering nul tot je sterfdag.
De mail is niet te lezen zoals duidelijk aan gegeven in de stuk hierboven.

Die data is dus wel veilig. Alleen het ip adres waar vandaan wordt ingelogd niet.

Dat de gebruiker niet zo slim was vpn te gebruiken is zijn keuze.

Elke email dienst moet zich aan de wet houden.
Je data is dus niet veilig. Ze hebben 6 maand lang alles gelogd. Deze data is afgegeven aan zwitserland.
De vraag is met wie deze persoon heeft gesproken 🙂

De mail komt ergens aan en daar wordt het ontcijferd.


Ik vind het altijd gek dat sommige denken dat “mail” of “berichtjes” versleuteld betekent dat niemand ze kan lezen. Natuurlijk wel, de verzender maar ook de ontvanger.
Uitgezonderd sommige TOR-services is er geen enkele provider die niet rechterlijke bevelen opvolgt. Dit is niet op verzoek van de politie, maar echt na een rechterlijk bevel op verzoek van de politie van 2 verschillende landen. Weet niet waar je denkt dan naartoe te gaan, maar als 2 Europese polities buiten Rusland en Wit-Rusland beiden beoordelen dat er reden is om een opsporingsmiddel in te zetten, dan ben je wat verder heen dan een onschuldige opmerking.
Als ze net zoals iedere email-dienst zijn, is er dus geen reden om ze nog te gebruiken.
Als ze net zoals ieder andere email-dienst zijn, dan heb je dus iedere reden om ze alsnog te gebruiken. En in combinatie met TOR kun je het ook nog steeds anoniem gebruiken.
Je kunt geen account aanmaken enkel via TOR. Je moet dan nog een SMS verificatie doen bijvoorbeeld.
Tenzij je of 1) een anonieme TOR-wegwerpservice gebruikt welke nooit door de politie bezocht gaat worden of 2) een eigen mailserver hebt (en dan bedoel ik dat ook vrij letterlijk, dus geen gehuurde server, laat staan domein, op afstand) welk alle identificeerbare data van de mails en nodeinformatie afschraapt en zelf een aantal anonieme, niet-betaalde relays gebruikt om de mail te versturen waardoor ook de entry/exitnode niet herleidbaar is, ben je ALTIJD de klos en herleidbaar op een of andere manier wanneer iemand geïnteresseerd genoeg is.

Dus mijn vraag nog een keer: waar denk je dan heen te gaan? Je bent altijd herleidbaar als iemand er genoeg moeite voor wilt doen vanwege redenen.

[Reactie gewijzigd door MicBenSte op 6 september 2021 19:40]

waar denk je dan heen te gaan? Je bent altijd herleidbaar als iemand er genoeg moeite voor wilt doen vanwege redenen.
Wat een rare redenatie. Andere providers zijn ook bagger dus gebruik ik proton mail?

Overigens heeft proton wel meer eigenaardigheden. Je kunt bv niet via een TOR netwerk een account aanmaken. Andere providers bieden meer lagen bescherming dan Proton.
Welke andere providers zijn dat dan?
Tutanota doet het wel.
Al houden die ook je IP bij na een gerechtelijkbevel te hebben ontvangen https://tutanota.com/nl/faq/#anonymous-email
Ja, maar bij Tutanota kun je via TOR een account aanmaken + benaderen. Dat is niet zo bij proton.
Ze zijn niet als "iedere e-mail-dienst". Ze kijken veel meer naar je privacy dan het overgrote deel van al die anderen. Maar ze zullen zich wel aan de wet moeten houden van het land waar ze gevestigd zijn. Al is het maar om ervoor te zorgen dat ze gewoon hun diensten aan kunnen blijven bieden, en dat op een manier die de gebruikers ook ten goede komt.

Als ze ergens in Kazachstan gevestigd waren, dan hadden ze dit verzoek vast naast zich neer kunnen leggen, maar dan is het verstandiger om je zorgen te maken over de encryptie an-sich.

Misschien is voor jou de beste optie een eigen mailserver, op een eigen server die in je gangkast staat, en daar PGP op draaien... (en dan maar hopen dat je provider niets logt aan wat er bij jou aan data in en uit gaat)
Dus... Geen emails meer?
Niet via proton. Ze pretenderen dat je anoniem bent maar dat is dus niet zo.
Nee dat pretenderen ze niet. Ze geven aan in de voorwaarden dat ze onder de Zwitserse wet vallen.
Maar jij gaat dus naar een betere provider. Ik ben heel benieuwd welke.
Waar pretenderen ze dat precies? Ik heb de privacy policy nagelezen, maar niet gevonden.
Ik denk je dat je dan geen enkele dienst meer kunt gebruiken. Proton biedt je heel veel privacy. Standaard loggen ze niets. Er kan dus achteraf door geen enkele instantie gesnuffeld worden in de gebruikersdata van onverdachte gebruikers. Als er eenmaal een Zwitsers gerechtelijk bevel ligt zal je daar aan moeten voldoen. De Zwitsers wet zit degelijk in elkaar, dus als je privacy wil en je je niet bezig wil houden met zaken die tegen de Zwitserse wet zijn, is Protonmail een prima dienst.
Ik heb al jaren een geheime verhouding met de vrouw van de president van Zwitserland.
Je moet wel het licht wat dimmen inderdaad.
Waarom. Dit zijn niet zomaar verzoeken, maar een juridisch bindend bevel van de Zwitserse autoriteiten. Die krijg je niet zomaar binnen. Even wat voorbeelden vanuit het Transparency report om wat voor zaken dit gaan:
clear criminal conduct, terrorism with an imminent threat,
bomb threats,
kidnapping,
immediate threat of bodily harm to innocent civilians.



Ik vind het prima als er data in deze situaties aan de autoriteiten data wordt verstrekt. En er zijn ook genoeg voorbeelden van zaken die ze weten af te wijzen:
targeting an investigative journalism,
targeting a whistleblower.



Vervolgens kan je je afvragen welke data ze van je hebben of kunnen verzamelen? Je IP adres nadat ze logging hebben geactiveerd en je hiervan op de hoogte bent gebracht. En natuurlijk je inbox, ja, versleuteld .
Mogelijk dat ze nog inkomende en uitkomende onversleutelde emails kunnen/mogen verzamelen, zoals we bij Tutanota zagen.

Mocht het toch zo zijn dat met jouw gebruik van Protonmail, je bang bent dat ze een binding order van de Zwitserse autoriteiten krijgen op jouw inbox, dan ligt dat probleem waarschijnlijk dichter bij jou handelingen dan die van de autoriteiten.
Mocht het toch zo zijn dat met jouw gebruik van Protonmail, je bang bent dat ze een binding order van de Zwitserse autoriteiten krijgen op jouw inbox, dan ligt dat probleem waarschijnlijk dichter bij jou handelingen dan die van de autoriteiten.
Ditzelfde geldt voor VPN gebruik, op het moment dat een rechter bepaald dat een gebruiker bekend moet worden, zal de aanbieder er aan mee moeten werken.
Schermen met de 'veilige' "no logging" zal dan niet meer helpen, de provider zal zijn eieren kiezen, en bijstaan in het onderzoek.
Vooral de budget-aanbieders, die onder de 5€/m aanbieden zullen voor geen cent jou boven hun product stellen .. dat is gewoon idioot om te geloven.
Als een VPN-dienst niet aan logging doet dan kan het bij het bijstaan in het onderzoek echter weinig betekenen dus ik weet niet zo waar je op doelt.
Zo werkt het niet. Een bedrijf kan standaard niet aan logging doen maar als er een bevel komt moet het daar aan meewerken. Dat staat ook in de voorwaarden. Als ze daar niet aan meewerken door te zeggen dat ze de faciliteiten er niet voor hebben, komt justitie het zelf inrichten.
Precies hetzelfde als hier met Proton: na ontvangst van de gerechtelijke opdracht starten met logging voor een bepaalde gebruiker.
Hoe kun je als Proton zijnde deze claims verifiëren? Ze hebben immers geen toegang tot de 'data' van gebruikers (zeggen ze), dus dan moeten ze de autoriteiten op hun blauwe ogen geloven dat ze inderdaad achter een kidnapper of terrorist aanzitten i.p.v. een journalist of klokkenluider.
Maar dat is niet aan protonmail om dat te controleren, die krijgt een gerechtelijk bevel die ze verder niet kunnen aanvechten. Het is dan aan de gerechtelijke macht om zeker te zijn van de redenen voor het gerechtelijke bevel.
Zoals ik begrijp uit het bericht gaat het hier om een bevel van de Zwitserse autoriteiten (i.e. de overheid) en niet een Zwitserse rechtbank. Dat zou eventueel problematisch kunnen zijn aangezien er dan geen onafhankelijke toets plaatsvindt. Overigens geen idee hoe Nederlandse ISP's reageren op dergelijk verzoeken van onze overheid.
De Zwitserse autoriteiten zal het Zwitserse openbaar ministerie zijn, dat het internationale bevel ten uitvoer moet brengen. Ik weet niet of dat in het Zwitserse systeem direct kan of dat daar nog een rechtbank tussen zit, maar er kan bezwaar tegen gemaakt worden. In het uiterste geval zal er een rechter naar moeten kunnen kijken.
Zo gaat dat overal. Een onderzoeksrechter of rechtercommissaris vaardigt zo’n bevel uit.
Als je met "de data van de gebruiker" de inhoud van zijn mails bedoelt, die zijn versleuteld. Ze kunnen hooguit versleutelde mails overhandigen.

In dit artikel staat dat echter niet. Het gaat om een IP adres vanwaar een Protonmail gebruiker een mail (data) heeft gestuurd.
Hoe kun je als Proton zijnde deze claims verifiëren?
Niet. Maar dat hoeft ook niet, het is niet hun beslissing of ze meewerken, het is een vereiste.
dan moeten ze de autoriteiten op hun blauwe ogen geloven dat ze inderdaad achter een kidnapper of terrorist aanzitten i.p.v. een journalist of klokkenluider.
Klopt. Waarom is dat een probleem? Als jij wordt aangeklaagd voor iets wat je niet gedaan hebt, dan moet je de rechter ook op zijn blauwe ogen geloven dat ie je niet, zonder enige vorm van bewijs, alsnog veroordeelt. Dus ja, als zowel de politieagenten die het onderzoek uitvoeren, áls de rechter die Protonmail het bevel geeft om het IP-adres te overhandigen én de rechter die de uiteindelijke aanklacht behandeld allemaal volkomen corrupt zijn... én niemand in de pers het de moeite vindt om jouw zaak eens flink onder de aandacht te brengen, dan ben je als onschuldige de sjaak. Maar dat is nou juist waarom we zo ontzettend blij zijn dat we in een vrij land leven (hetzij Nederland, hetzij België, hetzij in dit geval Zwitserland), waar politie en justitie af en toe echt wel fouten maken, maar het aantal mensen dat daadwerkelijk corrupt is héél laag is.
Dit wordt sowieso nog een lastige rechtszaak als ik het zo lees. Inhoudelijk weten ze niet wat er is verzonden. Ze weten alleen vanaf welk ip adres iets is verzonden. Ik vraag me af wat ze ermee kunnen. Als er een VPN tussen zit zien ze mogelijk helemaal niks.
Het kan zijn dat ze een dreigmail hebben ontvangen. Dan weten ze de inhoud. Ze weten alleen niet door wie de mail is verzonden, daar hebben ze het IP-adres voor nodig.
Van wat ik uit het artikel begrijp is zelfs die enkele dreigmail niet genoeg om een IP-adres te achterhalen, omdat dat niet standaard door Protonmail wordt gelogd. Pas na een gerechtelijk bevel kunnen ze kijken vanaf welk IP-adres nieuwe mails vanaf hetzelfde account worden verstuurd (of wanneer het account wordt gecheckt op nieuwe ontvangen mail).
Een VPN is een goed wapen daartegen, iedere keer een ander IP-adres gebruiken (bv openbare WiFi-hotspots) ook, maar ook het niet meer gebruiken van een account na het versturen van een dreigmail.
Maar het beste wapen is om geen stomme dingen uit te halen. Je moet de Zwitserse wet overtreden hebben voordat ze je IP-adres kunnen achterhalen, daardoor hebben bv. de meeste dissidenten uit landen met autoritaire regimes niets te vrezen.
Je maakt hier een aanname dat er bewijslast is in de versleutelde inhoud van de mails. Je weet niet welk bewijs er wel is tegen de verdachte.
Als de ontvanger van die mails een niet-versleutelde dienst gebruikt hebben ze die mails natuurlijk al. Of de verdachte heeft misschien met een undercover agent gecommuniceerd. Het kan ook zijn dat de inhoud van de mails helemaal niet belangrijk is, maar dat men patronen in de communicatie heeft gevonden die belangrijk zijn voor de bewijsvoering.
Het wordt me niet helemaal duidelijk wat de activist uitgespookt heeft wat de Franse politie initieel getriggerd heeft. Uiteindelijk wordt nl. vastgesteld dat er onder Zwitsers recht delicten zijn gepleegd.
Als én de Franse authoriteiten én de Zwiterse authoriteiten er een probleem mee hebben dan kan je er waarschijnlijk vanuit gaan dat in principe het overal strafbaar is. Ben alleen benieuwd wat er dan in hemelsnaam gebeurt is dat de man is opgepakt. Zelfs de Zwitserse politie zal niet genoeg geld hebben om voor elk klein wissewasje achter iemand aan te gaan, dus dit zal waarschijnlijk een misdrijf geweest zijn.
Lastig te vinden inderdaad. Op slashgear.com vond ik dit:
This rather messy legal situation revolves around some members of the green movement Youth For Climate charged with setting up “climate camp” occupations in 2020 and 2021. Although those incidents happened in Paris, the investigation revealed some activists using ProtonMail to communicate their activities. This eventually led to the Swiss government ordering the email service to hand over the IP addresses of the aforementioned users, which eventually resulted in their arrest.
Het aantal bevelen van de Zwitserse overheid aan Protonmail is sinds 2017 opgelopen van 13 naar 3572. In 2017 tekende het bedrijf bezwaar aan tegen drie verzoeken; vorig jaar lag dat aantal op 750.
Dus ze 2822 bevelen opgevolgd. Op zich ook niet gek voor een legaal bedrijf, dat denk ik legaal wilt blijven.

Laat het een waarschuwing voor iedereen zijn, die denkt veilig achter een "beschermde" mail of vpn dienst zit. Als je verdacht wordt van iets strafbaars, zal elk bedrijf vroeg of laat over de brug gaan.
Nee, er zijn 2822 bevelen geweest waarbij de eigen advocaten aangeven dat het geen zin heeft om bezwaar in te dienen aangezien elk bezwaar als ongegrond zal weggezet worden. Van de 750 bezwaren weten we niet hoeveel er uiteindelijk hebben standgehouden en hoe vaak ze alsnog de data hebben moeten afgeven.
Dit verbaast toch niemand mag ik hopen?
Of je nou de goede of de kwade partij bent, als je anonimiteit/privacy afhangt van het feit dat iemand anders je gegevens veilig bewaard, dan heb je geen anonimiteit/privacy. Die ander kan altijd gedwongen worden jou gegevens af te staan. En we zien dat exponentieel groeiend gebeuren, over heel de wereld.

Het is echt heel simpel: Als de techniek niet inherent anoniem is, dan ben je niet anoniem. En zelfs dan moet je oppassen.
Exact. Het is redelijk bizar te denken dat iemand anders moeilijkheden op zijn hals gaat halen om jouw privacy te beschermen.

Je moet wel echt van het kaliber Snowden of Assange zijn wil je wat mensen kunnen vinden die hun handen voor jou in het vuur steken. En dan is het nog maar de vraag of de Proton bazen bij dat groepje mensen horen.
ik vraag me af of de Zwitserse wet van toepassing moet zijn op het misdrijf (lees op Zwitsers grondgebied gepleegd) of dat het enkel onder de Zwitserse wet strafbaar moet zijn.
Het moet gaan om een delict wat ook in Zwitserland bestraft zou worden als het in Zwitserland zou zijn begaan. Dit om te voorkomen dat we meewerken aan verzoeken die wij onredelijk zouden vinden.
Een bedrijf volgt een wettig bevel op om data te overhandigen, dit zou niemand moeten verbazen toch? Of zijn er echt mensen die denken dat een bedrijf hun bestaan op het spel zet voor jouw data? Klinkt leuk maar dat gaat geen enkel legitiem bedrijf doen. Het is vervelend dat dit kan gebeuren maar dit is de realiteit waar we in leven.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee