Po išsamaus saugumo audito „ExpressVPN“ paskelbė nepriekaištingą sveikatos būklę.
Bendrovė pasitelkė kibernetinio saugumo firmą „Cure53“, kad atliktų savo „VPN“ naršyklės „Chrome“ ir „Firefox“ plėtinio saugumo auditą, kad sumažintų bet kokius saugos klausimus. Skverbimosi bandymų ataskaita (arba „Pentest“) yra mažiau išsami nei ta, kurią Berlyne įsikūrusi bendrovė padarė „Tunnelbear“ dar 2017 m., Kol ją įsigijo „McAfee“.
Kaip skvarbos testavimo ir kodų audito specialistai, „Cure53“ išbando viską, pradedant programomis ir plėtiniais, baigiant svetainėmis, tinklaraščiu, konfigūracija, serveriu, konteineriu, infrastruktūra ir šifravimu, nors „ExpressVPN“ atveju buvo tikrinamas tik naršyklės plėtinys.
Keturių narių komanda per savaitę dirbo su dviem naršyklės plėtiniais - visas VPN sprendimo auditas gali užtrukti iki šešių savaičių, atsižvelgiant į sudėtingumą.
Interviu el. Paštu Haroldas Li, „ExpressVPN“ viceprezidentas, pridūrė: „Mes reguliariai atliekame išsamius visų„ ExpressVPN “programų ir sistemų auditus ir skverbimosi testus. Tai pirmasis paskelbtas auditas, tačiau jis tikrai nebus paskutinis. Mes reguliariai atlieka išsamius visų „ExpressVPN“ programų ir sistemų auditus ir skverbimosi testus. Tai yra pirmasis mūsų paskelbtas auditas, tačiau jis tikrai nebus paskutinis. “
Saugos trūkumai
„Cure53“ nustatė keturis pažeidžiamumus, tris priskirtus vidutinėms, su keturiomis įvairiomis problemomis, nė viena iš jų nereikalautų atnaujinti juostos ribų.
Be to, ji pažymi, kad „nebuvo aptikta jokių saugumo problemų, kurios leistų (užpuolikams) paveikti VPN ryšio būseną per kenksmingą tinklalapį ar panašiai“. pridūręs, kad „po šio testo buvo pašalintos kelios funkcijos, kuriomis iš pradžių buvo siekiama suteikti vartotojams geresnį privatumą, bet kurios tapo naršyklės trūkumų aukomis“, tai, mano nuomone, yra teigiama.
Be audito, naršyklės plėtinio (kuriam reikia paleisti VPN klientą) šaltinio kodas buvo išleistas pagal atvirojo kodo licenciją, leidžiančią kitiems išsamiau išnagrinėti plėtinį.
„ExpressVPN“, kuris šiuo metu yra geriausio VPN pirkimo vadovo viršūnėje, jau įsipareigojo atlikti labiau nepriklausomą viešojo saugumo auditą, prie kurio tendencijos prisijungė ir kiti, pavyzdžiui, „NordVPN“, „VyprVPN“, „IPVanish“ ir „Tunnelbear“.
IVPN, „Mullvad“, „TunnelBear“, „VyprVPN“ ir „ExpressVPN“ taip pat bendradarbiavo su ne pelno siekiančia organizacija „Democracy & Technology Center“, kuri puoselėja pasaulines internetines pilietines laisves ir žmogaus teises ir paragino sukurti skaidresnę VPN pramonės veiklą.
- Šiuo metu patikrinkite geriausius VPN teikėjus