Som jag skrev i juli, mottog OVPN en ansökan om informationsföreläggande samt en ansökan om säkerhetsåtgärd från Rättighetsalliansen (RA) på begäran av AB Svensk Filmindustri och Nordisk Film A/S. RA vill veta vem som hade en viss Publik IPv4-adress vid ett givet tillfälle, och vill att OVPN tillhandahåller namn, adress, betalningsinformation samt hur länge kontot har varit en betalande kund hos oss.
För tydlighetens skull, OVPN kan inte tillhandahålla den begärda informationen eftersom det inte finns några loggar relaterade till vilken kund som har använt en viss IP-adress.
Målet är ännu inte avslutat, utan vi har skickat yrkanden fram och tillbaka under hela sommaren. Ett beslut från Patent- och marknadsdomstolen (PMD) bör inkomma under september. Det har däremot hänt en hel del intressant under processen hittills, som jag tycker är värt att nämna.
OVPN vann ansökan om säkerhetsåtgärd
Säkerhetsåtgärd innebär att OVPN inte skulle få ta bort någon information om det efterfrågade kontot tills dess att frågan om informationsföreläggande var avklarat. Då OVPN inte har någon information, beslutade domstolen den 9:e juli att gå på vår linje att avslå yrkandet om säkerhetsåtgärd.
Rättighetsalliansen gav dock inte upp efter detta, utan har fortsatt sina yrkanden om att OVPN ljuger och att vi måste ha den efterfrågade informationen. Varken PMD eller OVPN trodde nog att RA skulle fortsätta yrka på samma spår i två månader.
Rättighetsalliansen skapar sitt egna bevismaterial
Rättighetsalliansen "drivs av oberoende konsulter", men det är Sara Lindbäck som är juristen hos dem som för sin talan mot OVPN. I ett av yttranden, åberopar hon sin konsultkollega Anders Nilssons PM som bevisning:
Närmare om hur VPN-tjänsten och den statiska IPv4-tjänsten fungerar och vilken information som bör finnas för att tjänsten ska fungera ändamålsenligt, framgår av bifogat PM, bilaga 12, som åberopas som bevisning.
Vi motsätter oss att RA skriver ihop lite texter och påstår att det är bevismaterial. Vår advokat, Michael, svarade galant på det:
När det gäller det PM som åberopas som ”bevisning” noteras att det – som tidigare ingivna PM – är skrivet av en medarbetare vid Rättighetsalliansen, dvs. Sökandenas ombud. Enligt OVPN:s uppfattning är detta snarare att se som en kompletterande inlaga för Sökandena snarare än bevisning. Under alla omständigheter är den ingivna PM:n spekulativ och vag när det gäller de begärda uppgifterna och man antar helt sonika att OVPN ”rimligtvis” har sådana uppgifter då dess system ”sannolikt” fungerar på visst sätt. Det framgår också att den som skrivit PM:n inte vet ”/e/xakt hur OVPN:s betalningssystem fungerar...” Således saknar handlingen, även om den skulle anses utgöra bevis, bevisvärde i relevanta avseenden ändå.
Rättighetsalliansen begär ut mer information
Ursprungligen ville RA få ut namn, adress, betalningsinformation samt hur länge kontot har varit en betalande kund hos oss. OVPN frågar överhuvudtaget inte våra kunder om namn och adress, så det skulle vara omöjligt för oss att tillhandahålla.
Rättighetsalliansen har under processen ändrat sitt yrkande och vill nu få ut betydligt mer information om kontot, nämligen "samtliga uppgifter som de innehar". Vi har uppmärksammat domstolen om att genom detta yttrande så har de utökat sin talan avsevärt och det inger också GDPR-betänkligheter. Vi bestrider detta, även fast vi inte har en aning om vilket konto det faktiskt är de vill få information om.
Rättighetsalliansen försöker använda kvitton som bevis
Tycka vad man vill om RA, men jag blev faktiskt förvånad över deras kreativitet när de försökte använda kvitton som en metod att identifiera kunden:
Även om det är så att lagring inte sker enligt lagen om elektronisk kommunikation har företag en skyldighet att spara fakturor och kunduppgifter både enligt bokföringslagen och av skatteskäl. [...] OVPN måste av ovan nämnda skäl inneha information om vem som köpt tjänsten, vilken tjänst som köps, vad tjänsten kostar och för hur lång tid tjänsten ska nyttjas.
OVPN är inte den enda VPN-tjänsten som erbjuder publika IPv4-adresser och jag tror det finns en stor chans att detta tillvägagångssätt kan användas på andra VPN-tjänster för att identifiera vilken kund i efterhand som har varit allokerad en viss IP-adress. Det fungerar däremot inte på OVPN.
OVPN:s kvitton för Publik IPv4 specificerar inte vilken IP-adress det rör sig om, utan endast att en viss kund har betalat för tjänsten. Se exempelvis på detta kvitto. OVPN:s kunder kan dessutom betala för flera års tillhandahållande av tjänsten vid ett och samma tillfälle. Detta utgör i sig ett hinder för att ens teoretiskt kunna koppla en tjänst vid en exakt tidpunkt till en specifik betalning. En kund kan också närsomhelst byta sin Publika IP-adress.
Det förhållandet att vi enligt bokföringslagen är skyldig att bokföra affärshändelser och bibehålla verifikationer på ett sätt som gör att det går att följa en rörelses förlopp innebär inte att vi måste eller ens borde ha specificerat på kvitton vilken IP-adress det rör sig om. Det går att likställa med att McDonalds isåfall behöver specificera på kvittot vilken gård köttet på hamburgaren kommer ifrån.
Rättighetsalliansen anlitar säkerhetsspecialist
I RA:s senaste yttrande, tar de in en extern konsult, som har skrivit ihop ett yttrande som RA återigen åberopar som bevisning.
Mitt namn är Jesper Larsson och jag arbetar som säkerhetsspecialist på företaget 0x4A. Mitt fokusområde inom IT säkerhet är tekniskt infrastruktur där jag arbetar med penetrationstester och säkerhetsrådgivare.
Säkerhetsspecialisten spekulerar i utlåtandet att det skall ”anses som extremt sannolikt att användaren eller identiteten som är kopplad till konfiguration finns lagrad i en användardatabas…”
Återigen, så bestrider vi detta och uppgifterna kan inte – trots den påstått höga sannolikhetsgraden – tas för goda framför OVPN:s egna uppgifter. Vi förstår hans förhållningssätt, men då han inte har all information på hur OVPN faktiskt drivs så kan han endast spekulera.
Säkerhetsspecialisten fortsätter och säger att ”användaren har själv konfigurerat sitt VPN-konto att peka på den givna domänen. För att denna typ av konfiguration skall vara möjlig så måste data kring konfigurationen finnas lagrad hos OVPN i vart fall under den tid då konto är aktivt” vilket är en sanning med modifikation.
För det första görs en sådan konfiguration på DNS-nivå av domäninnehavaren och inte av OVPN. Det är nämligen s.k. "A records" som läggs upp hos domänleverantören som avgör var en domän pekar. Någon sådan konfiguration görs överhuvudtaget inte på OVPN:s sida. Det är oklart om Jesper inte förstår hur DNS fungerar, men påståendet stämmer inte.
Säkerhetsspecialisten anser att vi borde kunna få fram den efterfrågade informationen i vår användardatabas, eller i backups av användardatabasen. En backup av databasen utgör i praktiken en kopia av den aktuella databasen vid ett givet tillfälle. En sådan backup kan då ge bild av vilken part som hade en specifik Publik IP-adress vid det tillfällen backupen genomfördes. Hos OVPN sparas backups en begränsad tid och raderas därefter automatiskt. När OVPN mottog informationsföreläggandet och yrkandet om säkerhetsåtgärd hade backupen för den period RA anvisade redan raderats.
Sist, men absolut inte minst, är det faktumet att säkerhetsspecialisten — tre dagar efter han yttrade sig i Patent- och marknadsdomstolen — verkar ha ändrat sin ståndpunkt i en gruppkonversation på Telegram. I konversationen kommenterar Jesper vår verksamhet. Säkerhetsspecialisten uttalar först att han ”/t/ror att ovpn har gjort ett bra jobb med sin integritet o privacy helt klart.”
Därefter klargör han att ”/g/issar att kontot med den statiska adressen inte är kopplad till någon uns av PII data som går att härleda till någon person eller organisation”.
PII är en term för identifierbar information (Personally Identifiable Information) om en person.
Jespers uttalande i gruppkonversationen förefaller således oförenligt med hans slutsatser i utlåtande.
Det ska bli spännande att se vad Rättighetsalliansen nu hittar på då deras egna sakkunnige håller med om att OVPN gör ett bra jobb avseende integritet och privacy, samt att han inte tror att det finns någon identifierbar information att uthämta.