Intervju: ExpressVPN om förtroende och öppenhet

Vår bosatta digitala integritetsekspert Doug Crawford satt ner med Harold Li, vice ordförande för ExpressVPN för att diskutera hur de håller sig relevanta, pålitliga och transparenta i en ständigt utvecklande bransch.

ExpressVPNs Harold Li

Vi älskar det faktum att revisioner som din Cure53-webbläsarutvidgningsrevision hjälper till att skapa transparens i VPN-branschen. Varför tycker du att detta är så viktigt??

När användare väljer ett VPN litar de på den tjänsten med sin integritet och säkerhet online. Vi tar det förtroendet och ansvaret otroligt på allvar, och vi hoppas att alla andra i VPN-branschen också gör det. Öppenhet är ett sätt att hjälpa användare att avgöra vem de kan lita på, vilket gör att de själva kan se om en tjänst uppfyller sina löften. Vi tror att allt som hjälper internetanvändare att fatta mer informerade beslut när de väljer ett VPN i slutändan gör Internet mer privat och säkert för alla.

Är du nöjd med resultatet av granskningsresultaten?

Ja, vi är glada över att ha fått oberoende validering att vår webbläsarförlängning ger starka säkerhets- och integritetsskydd - som Cure53 rapporterar, var deras resultat "en bra säkerhetsindikator." Dessutom är vi alltid tacksamma för att få feedback om var vi kunde förbättra och är glada över att vi kunde arbeta med Cure53 för att snabbt ta itu med de problem som de identifierade.

Planerar du tekniska revisioner för dina viktigaste VPN-klienter? Vi förstår att detta kan vara dyrt, eftersom förmodligen varje plattform skulle behöva granskas oberoende?

Ja, faktiskt genomför vi regelbundet revisioner och penetrationstester för att validera och stärka säkerhets- och integritetsskydd. Denna granskning är den första vi har publicerat och vi planerar att publicera mer oberoende revisioner inom en snar framtid.

Enligt vår uppfattning utgör loggarna som ett VPN-företag håller ett mycket större hot mot användarnas integritet än några teoretiska brister i teknisk säkerhet. Håller du med och har ExpressVPN några planer för att dess loggningspraxis ska granskas i framtiden?

En läckande VPN är utan tvekan ett större hot än ett VPN som loggar, eftersom läckor påverkar alla användare (som annars antar att deras nätverksdata är säkra) och utsätter dem för ett brett spektrum av hot, medan insamlingen av loggar främst endast påverkar de användare vars information begärs enligt domstolsbeslut. På ExpressVPN samlar vi inte in aktivitetsloggar eller anslutningsloggar, och det har faktiskt validerats i den verkliga världen genom incidenter som till exempel när turkiska myndigheter grep en VPN-server hyrd av ExpressVPN i ett högprofilsfall men inte kunde hitta några serverloggar som skulle göra det möjligt för dem att identifiera en skyldige. Vi har planer för ytterligare oberoende validering av detta i framtiden - håll oss anpassade!

Kan du förklara varför att öppen källa är så viktigt?

Som nämnts i vårt tillkännagivande inlägg, en viktig anledning till att vi gjorde detta beror på hur förlängningar fungerar. Den omfattande uppsättning behörigheter som krävs av en anknytning för att fungera kan verka alarmerande när din webbläsare begär det. (Till exempel varnar en tillåtelse att tillägget kan läsa och ändra all information på webbplatserna du besöker.) Dessa behörigheter är nödvändiga för att leverera alla VPN: s sekretess- och säkerhetsfunktioner såväl som extra fördelar, som skadlig programvara. Genom att öppna vårt tillägg inbjuder vi vem som helst att titta under huven och bekräfta att vi använder dessa behörigheter på ett ansvarsfullt sätt och endast av de skäl som vi har gett.

Planerar du att öppna källkod all din kod i framtiden?

Som nämnts ovan finns det specifika skäl att det var särskilt relevant för vår förlängning. Vi kan öppna andra delar av vår kod (inte begränsat till appar och tillägg, men också till VPN-servrar) i specifika områden där vi anser att det är relevant och fördelaktigt.

Vi är väldigt stora fans av öppen källkod i allmänhet, men när det gäller VPN är det något oklart om dess värde. När allt kommer omkring kan en VPN-leverantör alltid övervaka användarnas beteende på internet i realtid när de använder sin tjänst. Så skulle det vara någon punkt att lägga till skadlig stängd källkod i en klient- eller webbläsartillägg, eftersom de ändå kan se allt? Så ... varför tycker du att det finns värde i att öppna anknytningen till förlängningen?

För utvidgningen fanns det specifika fördelar som framhölls ovan. Det är helt sant att öppenhet inom ett visst område inte är ett universalmedel när det gäller att lita på en VPN-leverantör - men det kan hjälpa till att validera säkerhets- och integritetsskyddet för en viss del av tjänsten, samt ge en positiv indikator för pålitligheten av en tjänst totalt sett.

Vi berömmer att du arbetar med Center for Democracy and Technology för att höja standarderna för alla VPN: s i hela branschen. Kan du berätta mer om detta initiativ?

Ja, Center for Democracy and Technology (CDT) är en oberoende ideell organisation som förkämpar medborgerliga friheter och mänskliga rättigheter runt om i världen. Vi arbetade med dem för att starta ett branschinitiativ för att höja standarder inom branschen och ge användare möjlighet att fatta mer informerade beslut när de väljer ett VPN. Detta tog formen av en lista med frågor som VPN-tjänster borde kunna svara för att signalera deras tillförlitlighet. Dessa frågor, tillsammans med vägledning från CDT, hjälper användare att utvärdera VPN-leverantörer baserat på deras affärsmodeller, metoder för datainsamling, säkerhetsprotokoll och mer.

Jag gillar att tänka på det som en näringsetikett för VPN: er som ger en basuppsättning fakta som du kan jämföra mellan olika tjänster. Och precis som en näringsetikett kan hjälpa dig att avgöra vilket mellanmål som är märkt "friskt" som verkligen är bättre för dig, med dessa frågor och svar kan du bättre bedöma om en VPN-tjänst som har "branschledande säkerhet" verkligen förtjänar den etiketten.

Hur har svaret på detta varit från resten av VPN-branschen?

Vi har fått mycket positiv feedback från branschobservatörer, till exempel journalister och granskare, såväl som från användare. Vi har inte hört det från andra leverantörer, men vi hoppas absolut att de kommer att gå med oss ​​i våra ansträngningar för att öka förtroendet och öppenheten i branschen!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me