ExpressVPN publiceert externe beveiligingsaudits en open-source browserextensie

[ware_item id=33][/ware_item]

Een illustratie van een slot met een vergrootglas eroverheen. De lens op het vergrootglas onthult de innerlijke werking van het slot. Alsof het vergrootglas een soort magisch röntgenapparaat was, mogelijk uit de toekomst.


Van buitenaf zien de meeste sloten er hetzelfde uit. Sommigen bieden weerstand tegen plukken of stoten, anderen kunnen worden versterkt tegen boren, maar je weet het nooit alleen door te kijken. Om het sterkste slot te herkennen, moet u het zelf proberen te kiezen, een slotenmaker vragen om het te testen of misschien zelfs uit elkaar halen om het ontwerp te bekijken.

VPN's zijn een beetje zo. Dus hoewel we ervan overtuigd zijn dat ExpressVPN toonaangevende beveiliging en privacy biedt, weten we dat het misschien niet gemakkelijk is om van buitenaf te vertellen.

We willen echter dat u net zo zelfverzekerd bent als wij, dus we streven ernaar u te voorzien van de informatie die u zelf moet zien. Daarom hebben we open-source lektesttools gepubliceerd - enigszins vergelijkbaar met het aanbieden van een lockpick-set - en hebben we onze beveiligingspraktijken in het afgelopen jaar gedetailleerd beschreven.

Vandaag kondigen we twee nieuwe initiatieven voor vertrouwen en transparantie aan waarmee iedereen verder kan controleren of we onze beloftes nakomen: een onafhankelijke, openbaar vrijgegeven beveiligingsaudit en de open source van de ExpressVPN-browserextensie.

Cure53 heeft de veiligheidsclaims van ExpressVPN op de proef gesteld

Onafhankelijke externe tests zijn een belangrijk onderdeel van ExpressVPN's benadering van beveiliging en we schakelen regelmatig beveiligingsauditors en penetratietesters in. In het verleden hebben we deze audits gebruikt om de beveiliging van onze service te verbeteren, maar naarmate de VPN-industrie zich ontwikkelt, zijn we ook het belang gaan inzien van het publiceren van de resultaten als onderdeel van onze toewijding aan vertrouwen en transparantie. Daartoe publiceren we vandaag onze eerste onafhankelijke, openbare beveiligingsaudit - de eerste van de vele die komen.

Voor deze audit hebben we het gerespecteerde cybersecuritybedrijf Cure53 uitgenodigd om een ​​grondige veiligheidsbeoordeling van onze browserextensie uit te voeren, waardoor zijn experts volledige toegang hebben tot de broncode en builds. Een team van vier Cure53-testers heeft de beveiliging en privacybescherming van de extensie gedurende zeven dagen in oktober 2018 beoordeeld en vervolgens half november een follow-up gegeven om te bevestigen dat alle geïdentificeerde problemen waren opgelost.

Volgens het onafhankelijke rapport van Cure53, openbaar beschikbaar op de website van het bedrijf, "zijn de resultaten van deze Cure53-beoordeling van de ExpressVPN-browserextensie voor Chrome positief, en bevestigt het fixverificatieproces medio november 2018 dat".

In zijn onderzoek identificeerde Cure53 acht problemen, waarvan er geen een ernstniveau hoger dan "gemiddeld" kreeg. Cure53 stelt dat "vrij duidelijk, dit is een goede beveiligingsindicator.”

Van de problemen waren er drie gemarkeerd als 'gemiddeld', twee 'laag' en drie 'informatief'. Het technische team van ExpressVPN heeft deze bevindingen onmiddellijk aangepakt en Cure53 heeft dit geverifieerd als onderdeel van de audit. Cure53 merkt verder op dat "het moet worden onderstreept dat er geen beveiligingsproblemen zijn ontdekt die [aanvallers] in staat zouden stellen de status van de VPN-verbinding via een kwaadaardige webpagina of dergelijke te beïnvloeden." Met andere woorden, er werd niets gevonden dat een wezenlijke invloed had op de kernbeveiliging en privacy bescherming die ExpressVPN biedt.

We zijn verheugd dat deze audit de beveiliging van onze browserextensie opnieuw bevestigt en versterkt en we kijken ernaar uit om in de nabije toekomst verdere onafhankelijke beoordelingen te delen.

Met open-sourcing kan iedereen onze code bekijken

Naast de audit publiceren we ook de broncode van de ExpressVPN-browserextensie onder een open-source licentie (GNU General Public License, versie 2). Hiermee kunt u of een derde partij hetzelfde type beoordeling uitvoeren dat Cure53 heeft uitgevoerd.

Een reden waarom we dit hebben gedaan, komt voort uit de manier waarop extensies werken. Een extensie vereist een uitgebreide set machtigingen om te werken, waarvan sommige alarmerend kunnen lijken wanneer uw browser hierom vraagt. (Eén machtiging waarschuwt bijvoorbeeld dat de extensie "al uw gegevens op de websites die u bezoekt, kan lezen en wijzigen.")

Deze machtigingen zijn nodig om alle privacy- en beveiligingsfuncties van een VPN te bieden, evenals extra voordelen, zoals bescherming tegen malware. Door onze extensie open te sourcen, nodigen we iedereen uit om onder de motorkap te kijken en te bevestigen dat we deze machtigingen op verantwoorde wijze gebruiken en alleen om de redenen die we hebben gegeven.

Raadpleeg onze GitHub-pagina om de broncode van de nieuwste versie van de ExpressVPN-browserextensie te bekijken.

Onze toewijding aan vertrouwen en transparantie in de VPN-industrie

Wat we vandaag hebben aangekondigd, zijn twee van de nieuwste stappen in onze zoektocht om niet alleen onze toewijding aan beveiliging en privacy aan te tonen, maar ook helpen de lat te leggen voor vertrouwen en transparantie in de VPN-industrie.

Zoals we vorig jaar hebben opgemerkt, toen we een brancheoverkoepelend initiatief met het Centrum voor democratie en technologie hebben gelanceerd om de normen voor alle VPN's te verhogen, zijn we van mening dat alles wat internetgebruikers helpt beter geïnformeerde beslissingen te nemen bij het kiezen van een VPN, het internet uiteindelijk privéer maakt en veilig voor iedereen.

Terwijl we nieuwe en betere manieren blijven ontwikkelen om privacy en beveiliging online te beschermen, kijken we ernaar uit meer audits, tools en inzichten te publiceren waarmee u zelf kunt zien en beslissen welke VPN de bescherming biedt die u nodig hebt.

Opmerking van de uitgever: 2 augustus 2019
In overeenstemming met ons streven om meer onafhankelijke audits te blijven publiceren, hebben we PwC onlangs uitgenodigd om te controleren of onze VPN-servers voldoen aan ons privacybeleid en om onze TrustedServer-technologie te controleren. Voor meer informatie en om het volledige PwC-auditrapport te lezen, zie ons volledige aankondigingsblogbericht.

ExpressVPN publiceert externe beveiligingsaudits en open-source browserextensie
admin Author
Sorry! The Author has not filled his profile.