ExpressVPN har erklæret en ren sundhedserklæring efter en fuld sikkerhedsrevision.
Virksomheden hyrede hjælp fra cybersikkerhedsfirmaet Cure53 til at gennemføre en sikkerhedsrevision af deres VPN-browserudvidelse til Chrome og Firefox for at afbøde eventuelle sikkerhedsmæssige problemer. Rapporten om penetrationstest (eller Pentest) er mindre omfattende end den, det Berlin-baserede selskab gjorde for Tunnelbear tilbage i 2017, før den blev erhvervet af McAfee.
Som specialister inden for penetrationstest og kode auditing tester Cure53 alt fra apps og udvidelser til websteder, blog, config, server, container, infrastruktur og kryptering, selvom det i ExpressVPN's tilfælde kun var browserudvidelsen, der blev undersøgt.
Et team med fire medlemmer arbejdede i løbet af en uge på de to browserudvidelser - en hel revision af en VPN-løsning kan tage op til seks uger afhængigt af kompleksiteten.
I et mailet interview tilføjede Harold Li, vicepræsident hos ExpressVPN, "Vi udfører regelmæssigt omfattende revisioner og penetrationstests på alle ExpressVPN-apps og -systemer. Dette er den første revision, vi har offentliggjort, men det vil bestemt ikke være den sidste. Vi udfører regelmæssigt omfattende revisioner og penetrationstests på alle ExpressVPN-apps og -systemer. Dette er den første revision, vi har offentliggjort, men det vil bestemt ikke være den sidste. "
Sikkerhedsfejl
Cure53 identificerede fire sårbarheder, tre klassificeret som medium, med fire forskellige problemer, hvoraf ingen ville berettige en opgradering uden for båndet.
Den bemærker endvidere, at "ingen sikkerhedsproblemer, der tillader (angribere) at påvirke VPN-forbindelsens tilstand via en ondsindet webside eller lignende, blev opdaget." tilføjelse, "flere funktioner, der oprindeligt havde til formål at tilbyde bedre privatliv for brugerne, men blev offer for browserbaserede mangler blev fjernet" efter denne test, noget det anser for at være positivt.
Ud over revisionen er kildekoden til browserudvidelsen (som kræver, at VPN-klienten kører), blevet frigivet under en open source-licens, der giver andre mulighed for at undersøge udvidelsen i flere detaljer.
ExpressVPN, som i øjeblikket topper den bedste VPN-købsvejledning, har allerede forpligtet sig til at udføre mere uafhængig offentlig sikkerhedsrevision, en tendens som andre som NordVPN, VyprVPN, IPVanish og Tunnelbear allerede har tilsluttet sig.
IVPN, Mullvad, TunnelBear og VyprVPN og ExpressVPN samarbejdede også med Center for Democracy & Technology, en nonprofitorganisation, der kæmper for verdensomspændende borgerlige frihedsrettigheder og menneskerettigheder og har opfordret til en mere gennemsigtig ramme for VPN-industrien til at operere inden for.
- Se de bedste VPN-udbydere lige nu