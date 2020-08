Under våren och sommaren har svenska filmbolag i samarbete med Rättighetsalliansen trappat upp jakten på fildelningssajten The Pirate Bay. Det inleddes med att ett informationsföreläggande lämnades in mot internetleverantören Obenetworks, vilket sedan ledde till ett informationsföreläggande mot VPN-leverantören OVPN då bolaget tillhandahöll den IP-adress som kopplats till The Pirate Bay.

Rättighetsalliansen lämnade dels in ett informationsföreläggande om att hämta upp efterfrågade uppgifter från OVPN, och dels en säkerhetsåtgärd med målet att kräva uppgifterna innan OVPN fått chansen att rensa eventuella uppgifter från databaserna. Patent- och marknadsdomstolen gav OVPN rätt i det sistnämnda fallet, och frågan om informationsföreläggande är pågående. I ett blogginlägg ger OVPN nu en uppdatering om sommarens utveckling i ärendet.

Uppdateringen innehåller ett mått av drama då Rättighetsalliansen i ett yttrande uppges använt texter författade av kollegor som bevismaterial för hur OVPN:s tjänst hanterar IPv4-adresser och hur betalningssystemet kopplat till detta fungerar, något OVPN motsätter sig. I en senare revision av ett tidigare yttrande söker Rättighetsalliansen att utöka de uppgifter de vill begära ut från OVPN, något de sistnämnda återigen motsätter sig då det utökar ärendets omfång markant.

I Rättighetsalliansens senaste yttrande anlitar organisationen säkerhetsexperten Jesper Larsson, vars expertis inom teknisk infrastruktur och penetrationstester används för att granska OVPN:s tekniska lösningar och göra utlåtande om vilka uppgifter företaget har eller inte har om dess kunder. I yttrandet menar Jesper Larsson att det "anses som extremt sannolikt att användaren eller identiteten som är kopplad till konfiguration finns lagrad i en användardatabas".

Jesper Larsson menar vidare att OVPN måste ha lagrat en konfiguration för att VPN-kontot ska kunna pekas mot The Pirate Bays webbadress. OVPN motsätter sig uttalandet då de menar att konfigurationen görs på DNS-nivå av kunden och lagras inte hos OVPN. Rättighetsalliansens begäran om att få databasuppgifter från aktuellt tillfälle anges inte heller vara möjligt, då OVPN enligt egen policy raderat uppgifterna när Rättighetsalliansens informationsföreläggande och säkerhetsåtgärd lämnades in.

Tror att ovpn har gjort ett bra jobb med sin integritet o privacy helt klart. Gissar att kontot med den statiska adressen inte är kopplad till någon uns av PII data som går att härleda till någon person eller organisation.

För att ytterligare spä på dramat avtäcker OVPN i sitt blogginlägg även en skärmdump från vad som sägs vara en gruppkonversation på tjänsten Telegram, där Rättighetsalliansens säkerhetsexpert Jesper Larsson deltar. I konversationen kommenterar han att OVPN verkar "gjort ett bra jobb" med säkerheten, och att han inte tror att IPv4-adressen ärendet gäller är kopplad till data som kan härledas till specifika individer eller organisationer.

I samtal med SweClockers förklarar OVPN:s VD och grundare David Wibergh att skärmdumpen på konversationen kommer från en stor grupp om 339 medlemmar, där David själv är medlem. Det förefaller alltså som att Jesper Larsson gör en annan bedömning om möjligheterna till att hämta ut efterfrågade uppgifter än den bedömning som kommuniceras i Rättighetsalliansens yttrande.

Tvisten mellan Rättighetsalliansen och dess klienter och OVPN är pågående och ett domslut i frågan är enligt OVPN att vänta någon gång i september år 2020.

