VPN-tjänst sparade användarnas loggar och lämnade ut dem till polisen

I USA har VPN-tjänsten Pure VPN (ingen relation till förra artikeln) lämnat ut loggar av användarna till myndigheter, som genom dessa kunde få fast en kille som trakasserade en tjej.

Det intressanta i sammanhanget: Pure VPN hävdade att de inte sparade några loggar:

We Do Not monitor user activity nor do we keep any logs.

Händelsen understryker hur man som användare är helt utlämnad åt att lita på VPN-operatören. Det är närmast regel att VPN-leverantörer slänger sig med fraser som ”We log nothing – period” och så vidare – men vem vet hur det egentligen ligger till? Och vem som ligger bakom tjänsten?

5 juli-stiftelsen driver VPN-tjänsten Integrity VPN. Jag nämner det delvis för transparensens skull, men också för att en av grundidéerna bakom Integrity VPN var att användaren ska kunna se tydligt vilka det är som ligger bakom tjänsten (här är de). Dessa människor har alltså satsat sin trovärdighet på att leverera en seriös tjänst – de har något att förlora på ett integritetshaveri liknande det som Pure VPN orsakade. Det är den typen av öppenhet och ansvarstagande som i stort saknas i VPN-branschen.

VPN betyder Virtual Private Network och är en anonymiseringsteknik.

Är du renlärig nog för att gilla Purism?

Purism är företaget som vill skydda sina användares privatliv. I somras släppte Purism två bärbara datorer efter en crowdfundingkampanj som drog in 2,5 miljoner dollar.

Läs gärna denna utförliga recension av Librem 13 v2, skriven av den unge österrikiske utvecklare som även var med på ett hörn i 5 juli-poddens avsnitt 17.

Nu är det dags att ta steget över till telefoner. Efter att ha crowdfundat 1,5 miljoner dollar kommer Purism att börja tillverka telefonen Librem 5:

The device promises total protection of your privacy, thanks to custom hardware, support for Linux-based software platforms (including PureOS), and features like end-to-end encrypted communications as well as hardware killswitches for the camera, Wi-Fi, Bluetooth and baseband.

”It will be a phone for the people, by the people”, säger företaget i en video.

Vad tycker ni om Purisms produkter?

Bärbara datorer är en sak och det är roligt att Purism tar upp kampen mot Apple och company där, som den nya underdogen.

Däremot har jag svårt att förstå poängen med en smartphone som värnar om sin ägares integritet. Är inte själva poängen med en denna leksak att ge upp integriteten medan man skrollar sig genom det ena flödet efter det andra? Den som verkligen värnar om integriteten skippar smartphonen helt och hållet. Att göra en smartphone integritetsvänlig är lite som att göra ett happy meal nyttigt. Det går, men … what’s the point?

Ge mig gärna mothugg.

Minns även Blackphone – ”a smartphone built to ensure privacy” – som lanserades av det schweiziska företaget Silent Circle 2014. Två år senare var företaget nära bankrutt. Numera marknadsför man bara en mobil brandvägg.

Och minns för all del också Firefox OS, det öppen källkod-baserade operativsystem för telefoner som Mozilla lanserade 2012 och lade ner 2016.

Slutsats: Folk vill inte ha integritetsvänliga telefoner. I alla fall inte när de ser ut som något från 2009 samtidigt som de stora tillverkarna överträffar varandra i bling.

Filterfail

Tyska piraternas EU-parlamentariker Julia Reda är inte skonsam i sin kritik mot det uppladdningsfilter som Europeiska kommissionen presenterade förra veckan:

Installing censorship infrastructure that surveils everything people upload and letting algorithms make judgement calls about what we all can and cannot say online is an attack on our fundamental rights.

Efter att ha sågat ”censurmaskinen” på principiella grunder tittar hon närmare på hur diverse uppladdningsfilter fungerar i praktiken – och listar deras största fails. Skratta eller gråt:

Julia Reda: When filters fail: These cases show we can’t trust algorithms to clean up the internet

Ta tillbaka makten över dina data!

Ravi Naik inleder en debattartikel i The Guardian med att citera Cyberspacemanifestet från 1996:

Your legal concepts of property, expression, identity, movement, and context do not apply to us.

Hans poäng verkar vara att företag kidnappat denna radikala syn på data – och vänt den mot användarna:

We are at a watershed moment of a citizen-led demand for data rights, with the hallmarks of a new civil rights movement enmeshed within it. However, the efficacy of any laws depends on individuals relying on them. The gift is in your hands. This is your data; these are your rights.

HAX spådde en ny medborgarrättsrörelse i 5 juli-poddens julavsnitt 2016 – kanske är Naiks artikel ett av flera första steg till en sådan.

Apparna som spionerar på dig

Att många appar för telefonen tillskansar sig mer information om användaren än de behöver är nog ingen nyhet för Femte juli-läsaren. Men exakt hur stora friheter apparna – eller deras utvecklare, rättare sagt – tar sig framkommer i ny forskning vid Karlstads universitet.

Doktoranden Nurul Momen säger till Sveriges Radio:

Även om jag inte använder appen och telefonen ligger på ett bord är apparna aktiva. De vaknar upp och tillskansar sig min privata information, vad jag har sparat, var jag har varit och så vidare. Vi vet inte varför, men det är vi intresserade att ta reda på mer om.

Momen har utvecklat ett program som visar vilka appar som är ”överprivilegierade”, till exempel genom att kräva access till telefonens mikrofon.

Programmet är ännu bara på prototypstadiet, men Momen skulle gärna se ett framtida samarbete med Konsumentverket, för att öka medvetenheten om appspionaget.

Look who’s stalking – två till utskott säger sitt om Eprivacyförordningen

Efter att konsumentutskottet Imco vände sig mot konsumenterna i förra veckans omröstning om EUs eprivacyförordning har nu två andra utskott kommit fram till betydligt bättre yttranden, rapporterar Edri.

  • Utskottet för rättsliga frågor, Juri, har röstat för formuleringar som stärker EU-konsumenternas integritet, enligt Edri. Till exempel tycker Juri inte att det spelar någon roll för ett mejls sekretess om det är ”in transit” eller lagras – operatören ska ändå hålla fingrarna borta. Därmed går man emot Imco i denna fråga.
  • På samma tema har utskottet för Industrifrågor, forskning och energi, Itre, röstat för rätten till stark kryptering.

De två utskotten röstade den 2 oktober 2017 om sina slutgiltiga yttranden om Eprivacyförordningen, som varit ute på remiss sedan 2016.

De olika utskottens yttranden kommer sammanvägas när ”superutskottet” Libe nästa vecka fattar det beslut som kommer ligga till underlag för hur EU-parlamentet röstar.

Libe är utskottet för Medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor.

Förutom Eprivacyförordningen kommer Libe att rösta om Upphovsrättsdirektivet, och då inte minst det kontroversiella uppladdningsfiltret (”censurmaskinen”) och den kritiserade länkskatten (”googleskatten”). I de frågorna är det dock Juri som är huvudutskott och som kommer sammanväga övriga utskotts betänkanden.

Och här har vi Edris roliga satirbild i dess helhet:

lookwhostaking_poster_750_80

Vad vet dejtingappen om dig?

Enligt EUs datalagringsdirektiv har man som användare rätt att begära ut alla data som ett företag har lagrade om en. Denna rättighet verkar främst utnyttjas av journalister.

Nu senast har den franska men i Berlin bosatta journalisten Judith Duportail begärt ut sina data från dejtingappen Tinder, som ägs av amerikanska Match Group. När Tinder väl accepterat utlämnandet – och detta först efter påtryckningar från en advokat – fick Duportail en lunta på 800 A4-sidor:

Some 800 pages came back containing information such as my Facebook “likes”, my photos from Instagram (even after I deleted the associated account), my education, the age-rank of men I was interested in, how many times I connected, when and where every online conversation with every single one of my matches happened … the list goes on.

För några år sedan gjorde den tyske politikern Malte Spitz ett liknande experiment, då han begärde ut sina data från teleoperatören Telekom. Även där krävdes det en del juridik – ja, en stämning rentav – innan Telekom gav med sig. Resultatet presesenterades i nyhetsmagasinet Die Zeit, som fick Spitz tillåtelse att lägga pussel med hans data för att visa vilken skrämmande komplett bild dessa data kan ge av en människa.

De två fallen skiljer sig åt på en väsentlig punkt:

I tinderfallet handlar det om data som vi villigt lämnar ifrån oss för att tjänsten över huvud taget ska fungera. Självklart måste Duportail ange sina ålderspreferenser om hon vill bli presenterad för tänkbara partner i den åldern.

Vad gäller Telekom handlar det i stället om en total uppsugning av alla öppna data som en persons uppkopplade enhet lämnar ifrån sig, och som varken teleoperatören eller staten har att göra med.

Det är ödet för denna andra typ av generell datalagring som nu avgörs i ett antal EU-länder, inte minst Sverige, efter att EU-domstolen ogiltigförklarat den.

EU-utskott sviker EU-medborgarna

EU-parlamentets utskott för inre marknad och konsumentskydd, IMCO, har granskat kommissionens förslag till Eprivacyförordning och kommit med ett slutgiltigt yttrande.

Edri konstaterar att yttrandet är så urvattnat att det knappast kan sägas skydda de konsumenter som utskottet har till uppgift att skydda. Stryk ”konsumentskydd” från ert namn, skriver Edri sarkastiskt och radar upp bevisen för hur utskottet svikit EU-medborgarna – läs hela listan här.

Mycket gäller ändringar i ordval som gör det möjligt för de stora jättarna att kringgå det konsumentskydd som ursprungligen var tanken med Eprivacyförordningen.

Till exempel ska mejlsekretess – vad detta nu än må innebära – enbart gälla medan mejl är ”in transit”, inte när de är lagrade hos en tjänsteleverantör. Googles eposttjänst Gmail har ända sedan lanseringen 2005 haft som affärsidé att analysera innehållet i användarnas mejl för att på bästa sätt kunna rikta reklam till dem. Den nya formuleringen gör att Google slipper fundera på hur Eprivacyförordningen skulle påverka eposttjänsten. Man förstår att det är mycket lobbying och kanske många bjudmiddagar som ligger bakom de harmlösaste formuleringar.

I slutändan kan EU-parlamentet välja att inte ta hänsyn till IMCOs yttrande. Så skedde när den Allmänna dataskyddsförordningen antogs, eftersom IMCO hade en, som Edri uttrycker det, ”extremist anti-consumer position”.

Utskotten är tillsatta av EU-parlamentet och ska granska lagförslag utifrån EU-medborgarnas bästa. Kanske är det dags att granska utskotten och fråga sig varför de gång efter annan landar i ståndpunkter som går rakt emot EU-medborgarnas bästa.