Som jeg skrev i juli, mottok OVPN et rettslig krav fra Rights Alliance (RA) på forespørsel fra AB Svensk Filmindustri og Nordisk Film A/S. RA ønsker å vite hvilken bruker som ble tildelt en spesifikk Offentlig IPv4-adresse, på et bestemt tidspunkt. Videre ønsker RA å vite navnet, adressen, betalingsinformasjonen samt hvor lenge den spesifikke brukerkontoen var en betalende abonnent på OVPN.
For å være tydelig kan OVPN ikke gi den forespurte informasjonen, da det ikke er logger relatert til hvilken kunde historisk sett ble tildelt en spesifikk IP-adresse.
Saken pågår fortsatt ettersom vi har sendt svar frem og tilbake gjennom hele sommeren. En endelig avgjørelse fra Patent and Market Court (PMC) skal mottas i september. Imidlertid har mange interessante ting skjedd så langt, som jeg mener er verdt å nevne.
OVPN vant søknaden om sikkerhetstiltak
Imidlertid ga ikke rettighetsalliansen opp etter dette, men har fortsatt sine krav om at OVPN lyver og at vi må ha den etterspurte informasjonen. Verken PMC eller OVPN trodde sannsynligvis at RA ville fortsette å argumentere for den samme linjen i to måneder.
Rettighetsalliansen skaper sine egne bevis
Rettighetsalliansen er "drevet av uavhengige konsulenter", men det er Sara Lindbäck som representerer dem i saken mot OVPN. I en av uttalelsene siterer hun sin kollega Anders Nilssons private melding som bevis:
Ytterligere informasjon om hvordan VPN-tjenesten og den statiske IPv4-tjenesten fungerer og hvilken informasjon som skal være tilgjengelig for at tjenesten skal fungere skikkelig, vises i vedlagte PM, vedlegg 12, som påkalles som bevis.
Vi motarbeider at RA skriver en tekst og hevder det som bevis. Advokaten vår, Michael, svarte vakkert:
Når det gjelder notatet referert til som "bevis", bemerkes det at det - som tidligere innsendte notater - ble skrevet av en ansatt i Rights Alliance, dvs. saksøkernes representanter. Etter OVPNs syn er dette å se på som et supplerende innlegg til søkerne snarere enn bevis.
Under alle omstendigheter er den innsendte private meldingen spekulativ og vag om den forespurte informasjonen, og den sier bare at OVPN "rimeligvis" har slik informasjon da systemet "sannsynlig" fungerer på en bestemt måte. Det ser også ut til at personen som skrev notatet ikke vet "nøyaktig hvordan OVPNs betalingssystem fungerer..." Dokumentet mangler således bevismessig verdi i relevante henseender, selv om det skulle betraktes som bevis.
Rettighetsalliansen ber om mer informasjon
Opprinnelig ønsket RA å vite navn, adresse, betalingsinformasjon og hvor lenge kontoen har vært en betalende kunde hos oss. OVPN ber ikke kundene våre om navn eller adresse i det hele tatt, slik at informasjon ville være umulig for oss å gi.
I løpet av prosessen har rettighetsalliansen endret kravet og ønsker nå å oppnå betydelig mer informasjon om kontoen - nemlig "all informasjonen de har." Vi har domstolens oppmerksomhet på at de gjennom denne bemerkningen har økt deres omfang som også reiser GDPR-bekymringer. Vi bestrider dette, selv om vi ikke aner hvilken konto de faktisk vil ha informasjon om.
Rights Alliance prøver å bruke kvitteringer som bevis
Uansett hva man mener om RA, kan man ikke unngå å bli imponert over deres kreativitet da de prøvde å bruke kvitteringer som en metode for å identifisere kunden:
Selv om lagring ikke utføres i samsvar med elektronisk kommunikasjonslov, har selskaper plikt til å lagre fakturaer og kundeopplysninger både i henhold til regnskapsloven og av skattemessige årsaker. [...] Av årsakene nevnt ovenfor må OVPN ha informasjon om hvem som kjøpte tjenesten, hvilken tjeneste som er kjøpt, hva tjenesten koster og hvor lenge tjenesten skal brukes.
OVPN er ikke den eneste VPN-tjenesten som tilbyr offentlige IPv4-adresser, og jeg tror det er stor sjanse for at denne tilnærmingen kan brukes på andre VPN-tjenester for å identifisere hvilken kunde som senere har fått en bestemt IP-adresse. Det fungerer imidlertid ikke hos OVPN.
OVPNs kvitteringer for offentlig IPv4 spesifiserer ikke hvilken IP-adresse som er tildelt, men bare at en bestemt kunde har betalt for tjenesten. OVPNs kunder kan også kjøpe abonnement i flere år av gangen. Dette i seg selv utgjør et hinder for til og med teoretisk å kunne knytte en tjeneste på et presist tidspunkt til en bestemt betaling. Og på toppen av det hele kan kunder også endre tildelt Public IP-adresse når som helst.
Det faktum at vi i henhold til regnskapsloven er forpliktet til å registrere forretningsbegivenheter og lagre kvitteringer på en måte som gjør det mulig å følge løpet av en virksomhet, betyr ikke at vi er pålagt eller til og med burde ha spesifisert på kvitteringer hvilken IP-adresse en kunde er tildelt. Det kan sidestilles med at McDonalds må angi på kvitteringen hvilken gård kjøttet på hamburgeren kommer fra.
Rettighetsalliansen ansetter en sikkerhetsspesialist
I RAs siste uttalelse beholder de en ekstern konsulent som har skrevet en uttalelse som RA igjen siterer som bevis.
Jeg heter Jesper Larsson og jobber som sikkerhetsspesialist i selskapet 0x4A. Mitt fokusområde innen IT-sikkerhet er teknisk infrastruktur der jeg jobber med penetrasjonstester og som sikkerhetsrådgiver.
Jesper spekulerer i uttalelsen om at det skal "anses ekstremt sannsynlig at brukeren eller identiteten som er knyttet til konfigurasjonen er lagret i en brukerdatabase ..."
Igjen bestrider vi dette og gjentar at deres antakelser kan ikke - til tross for påstått høy sannsynlighet - tas for gitt over OVPNs eget krav. Vi forstår Jespers tilnærming, men siden han ikke har all informasjon om hvordan OVPN faktisk drives, kan han bare spekulere.
Sikkerhetsspesialisten fortsetter og oppgir at “brukeren har konfigurert sin VPN-konto for å peke på det gitte domenet. For at denne typen konfigurasjon skal være mulig, må data om konfigurasjonen lagres på OVPN i det minste den tiden kontoen er aktiv,” noe som er en sannhet med modifikasjoner.
For det første gjøres en slik DNS-nivåkonfigurasjon av domeneeieren og ikke av OVPN. Det er nemlig de såkalte "A-postene" som opprettes med domeneleverandøren som bestemmer hvor et domene peker. Ingen slik konfigurasjon gjøres i det hele tatt fra OVPNs side. Det er uklart om sikkerhetsspesialisten ikke forstår hvordan DNS fungerer, men utsagnet er rett og slett ikke sant.
Sikkerhetsspesialisten mener at vi skal kunne hente den etterspurte informasjonen i brukerdatabasen vår, eller i sikkerhetskopier av brukerdatabasen. En sikkerhetskopi av databasen er i praksis en kopi av gjeldende database til et gitt tidspunkt. En slik sikkerhetskopi kan da gi et inntrykk av hvilket brukernavn som ble tildelt en spesifikk offentlig IPv4-adresse da sikkerhetskopien ble utført. Med OVPN lagres sikkerhetskopier i en begrenset periode og slettes deretter automatisk. Da OVPN mottok informasjonskravet og forespørselen om sikkerhetstiltak, var sikkerhetskopien for den perioden som RA ba om, allerede slettet.
Sist, men absolutt ikke minst, er det faktum at sikkerhetsspesialisten - tre dager etter bemerkningen i patent- og markedsretten - ser ut til å ha endret sin posisjon i en gruppesamtale på Telegram. I samtalen kommenterer Jesper vår virksomhet. Jesper uttaler først at han "/m/ener at ovpn tydelig har gjort en god jobb med sin integritet og privatliv."
Han presiserer deretter at han "/m/ener at kontoen med den statiske adressen ikke er knyttet til noe unns PII-data som kan spores til noen person eller organisasjon".
(skjermbilde av samtalen på svensk)
PII er et begrep for Personlig identifiserbar informasjon om en person.
Sikkerhetsspesialistens uttalelse i gruppesamtalen ser dermed ut til å være i direkte konflikt med hans konklusjoner i uttalelsen til retten.
Det blir spennende å se hva Rettighetsalliansen nå kommer med da deres egen ekspert er enig i at OVPN gjør en god jobb med hensyn til integritet og personvern, og at han ikke tror det er noen identifiserbar informasjon å hente.
Merk: alle sitatene er oversatt fra svensk.