Europol wyłączył VPN. Mieli dobry powód?
Europol zamknął First VPN w ramach operacji Saffron. Według raportu agencji służby przejęły 33 serwery w 27 krajach i domeny usługi, którą łączono z atakami ransomware oraz inną cyberprzestępczością. Śledztwo trwało od 2021 r.
First VPN reklamował się jako usługa zapewniająca anonimowość i brak współpracy z organami wymiaru sprawiedliwości. Według Europolu oferta była promowana wyłącznie na rosyjskojęzycznych forach związanych z cyberprzestępczością, a sama usługa przewijała się w wielu prowadzonych postępowaniach. W toku działań śledczych zidentyfikowano 506 użytkowników i dotarto do jednego z adresów w Ukrainie.
W operacji uczestniczyło 18 państw. Najważniejszą rolę odegrały Francja, Holandia, Luksemburg, Rumunia, Szwajcaria, Ukraina i Wielka Brytania. Przejęto także zwykłe domeny oraz adresy .onion powiązane z First VPN. Obecnie wyświetlają one komunikat o działaniach służb.
A gdyby laptop mieścił się w kieszeni?
Czym First VPN różnił się od zwykłych usług VPN?
Usługi określane jako bulletproof VPN nie są tym samym co legalne, nastawione na prywatność sieci VPN. Różnice dotyczą przede wszystkim podejścia do współpracy z władzami, reakcji na zgłoszenia nadużyć, sposobu reklamowania usługi, warunków korzystania oraz skali powiązań z cyberprzestępczością.
Firmy takie jak Mullvad czy ProtonVPN deklarują brak logów i brak trwałego przechowywania danych, ale działają w sposób mieszczący się w realiach obowiązujących przepisów. W 2023 r. siedzibę Mullvad odwiedziło sześciu szwedzkich funkcjonariuszy, którzy nie otrzymali danych użytkowników, bo firma nie miała czego przekazać.
Z kolei w ubiegłym roku grecki sąd oddalił zarzuty o pomoc w cyberprzestępczości wobec prezesa Windscribe, a same serwery tej usługi działały wyłącznie na dyskach RAM bez stałej pamięci.
Operacja Saffron a spór o prywatność cyfrową
Komentujący sprawę w internecie zwracają uwagę na możliwe przekroczenie uprawnień przy podobnych przejęciach. Nawet jeśli śledztwo koordynują liczne państwa, podstawy prawne zajęcia serwerów wynikają z lokalnych przepisów. To oznacza, że wymóg nakazu lub zakres potrzebnych dowodów zależy od kraju, w którym prowadzono konkretną czynność.
Wszystko to wywołuje rosnące napięcie między działaniami organów ścigania a unijnym podejściem do ochrony danych. Obywatele mogą powoływać się na kartę praw podstawowych Unii Europejskiej i RODO, które mocno akcentują prawo do prywatności cyfrowej.
Z drugiej pojawiają się inicjatywy, takie jak ProtectEU czy Chat Control, które zakładają gromadzenie danych na potrzeby śledczych albo skanowanie prywatnej komunikacji. Oficjalnie po to, by przeciwdziałać chociażby przestępstwom wobec dzieci. I choć projekt Chat Control był już wielokrotnie blokowany, tak spór o granice prywatności w Unii Europejskiej trwa.
