Europol odstranil službu First VPN, kterou popisuje jako „neprůstřelnou“ infrastrukturu pro kyberzločince. Operace s názvem Operation Saffron byla výsledkem mezinárodního vyšetřování, které začalo v roce 2021. Při koordinované akci úřady zabavily 33 serverů v 27 zemích a identifikovaly 506 uživatelů této služby.
Do akce se zapojilo 18 zemí, klíčovou roli sehrály Francie, Nizozemsko, Lucembursko, Rumunsko, Švýcarsko, Ukrajina a Velká Británie. Domény First VPN, včetně běžných adres i Tor skrytých služeb, byly zabaveny a nyní přesměrovávají na banner operace Saffron. Vyšetřování také přivedlo úřady k lokalitě na Ukrajině, která byla se službou spojena.
First VPN se podle Europolu prezentovala nejen jako nástroj pro ochranu soukromí, ale jako služba, která nespolupracuje s úřady a tvrdí, že působí mimo jakoukoli jurisdikci. Inzerce probíhala hlavně na ruskojazyčných fórech o kybernetické kriminalitě. Vyšetřovatelé uvádějí, že se služba často objevovala v případech online podvodů, útoků malwarem a ransomwaru.
Případ First VPN ukazuje na složitou otázku: kde končí legální ochrana soukromí a začíná infrastruktura pro zločince. Mnoho běžných VPN sice také nevede logy nebo nemá data o uživatelích, ale takzvané neprůstřelné služby se liší – otevřeně se zaměřují na pochybné klienty, ignorují stížnosti na zneužití a často se propagují jako služby, které nepodléhají úřadům.
Také zásahy nevyhnutelně vyvolávají otázky o hranicích právních možností. Zabavování serverů se řídí zákony jednotlivých zemí a standardy pro soudní příkazy, důkazy a postupy se mohou lišit. V Evropě je digitální soukromí chráněno právem a GDPR stanovuje přísná pravidla pro nakládání s daty, což činí rovnováhu mezi bezpečností a soukromím obzvláště křehkou.
Nové návrhy EU na rozšíření přístupu úřadů k datům nebo skenování soukromých zpráv kvůli ochraně dětí přidávají další složitost. V této situaci není odstavení First VPN jen úderem pro kyberzločineckou infrastrukturu, ale také další kapitolou v probíhající diskusi o budoucnosti soukromí na internetu.