Intervju: ExpressVPN om tillit og åpenhet

Vår beboer innen digital personvern Doug Crawford satte seg sammen med Harold Li, visepresident for ExpressVPN for å diskutere hvordan de holder seg relevante, pålitelige og transparente i en stadig utvikling.


ExpressVPNs Harold Li

Vi elsker det faktum at revisjoner som din Cure53 nettleserutvidelsesrevisjon er med på å gi åpenhet til VPN-bransjen. Hvorfor tror du dette er så viktig?

Når brukere velger et VPN, stoler de på denne tjenesten med sitt personvern og sikkerhet på nettet. Vi tar det tillit og ansvar utrolig alvorlig, og vi håper alle andre i VPN-bransjen gjør det også. Åpenhet er en måte å hjelpe brukere med å bestemme hvem de kan stole på, slik at de selv kan se om en tjeneste lever opp til løftene. Vi tror at alt som hjelper internettbrukere til å ta mer informerte beslutninger når de velger VPN til slutt gjør internett mer privat og sikkert for alle.

Er du fornøyd med resultatene av resultatene fra tilsynene?

Ja, vi er glade for å ha mottatt uavhengig validering av at nettleserutvidelsen vår gir sterk sikkerhet og personvern - som Cure53 rapporterer, var funnene deres "en god sikkerhetsindikator." I tillegg er vi alltid takknemlige for å få tilbakemelding om hvor vi kunne forbedre oss, og er glade for at vi klarte å samarbeide med Cure53 for å raskt ta opp problemene som de identifiserte.

Planlegger du tekniske revisjoner for dine viktigste VPN-klienter? Vi forstår at dette kan være dyrt, ettersom antagelig hver plattform måtte bli uavhengig revidert?

Ja, faktisk gjennomfører vi regelmessig revisjoner og penetrasjonstester for å validere og styrke sikkerhets- og personvernbeskyttelse. Denne tilsynet er den første vi har publisert, og vi planlegger å publisere mer uavhengige revisjoner i løpet av en nær fremtid.

Etter vårt syn utgjør loggene et VPN-selskap har en mye større trussel mot brukernes personvern enn noen teoretiske feil i teknisk sikkerhet. Er du enig i og har ExpressVPN noen planer for å få sin loggføringspraksis revidert i fremtiden?

En lekker VPN er uten tvil en større trussel enn en VPN som logger, ettersom lekkasjer påvirker alle brukere (som ellers antar at nettverksdataene deres er sikre) og utsetter dem for et bredt spekter av trusler, mens samling av logger først og fremst berører de brukerne som informasjon etterspørres i henhold til rettskjennelse. Hos ExpressVPN samler vi ikke aktivitetslogger eller tilkoblingslogger, og det har faktisk blitt validert i den virkelige verden gjennom hendelser som for eksempel da tyrkiske myndigheter tok beslag på en VPN-server leid av ExpressVPN i en høyprofil sak, men ikke kunne finne noen serverlogger som ville gjøre dem i stand til å identifisere en skyldige. Vi har planer for ytterligere uavhengig validering av dette i fremtiden - følg med!

Kan du forklare hvorfor åpen sourcing av koden din er så viktig?

Som nevnt i kunngjøringsinnlegget vårt, stammer en viktig årsak til at vi gjorde dette fra måten utvidelser fungerer. Det omfattende settet med tillatelser som en utvidelse trenger for å fungere, kan virke alarmerende når nettleseren ber om det. (For eksempel advarer en tillatelse om at utvidelsen kan lese og endre alle dataene dine på nettstedene du besøker.) Disse tillatelsene er nødvendige for å levere alle personvern- og sikkerhetsfunksjonene til en VPN, så vel som ekstra fordeler, for eksempel beskyttelse mot skadelig programvare. Ved å åpne utvidelsen vår, inviterer vi noen til å se under panseret og bekrefte at vi bruker disse tillatelsene på ansvarlig måte og bare av de grunnene vi har gitt.

Har du planer om å åpne kildekoden all koden i fremtiden?

Som nevnt ovenfor, er det spesifikke grunner til at det var spesielt relevant for utvidelsen vår. Vi kan åpne andre kilder til kildekoden (ikke begrenset til apper og utvidelser, men også VPN-servere) på bestemte områder der vi synes det er relevant og gunstig.

Vi er veldig store fans av åpen kildekode generelt, men når det gjelder VPN-er er det noe uklart om verdien av det. Tross alt kan en VPN-leverandør alltid overvåke brukernes atferd på internett i sanntid når du bruker tjenesten. Så ville det være noe poeng å legge til ondsinnet lukket kildekode i en klient- eller nettleserutvidelse, da de kan se alt, uansett? Så ... hvorfor føler du at det er verdi i åpen sourcing av utvidelsen?

For utvidelsen var det spesifikke fordeler som fremhevet ovenfor. Det er helt sant at åpenhet på et gitt område ikke er et universalmiddel når det gjelder å stole på en VPN-leverandør - men det kan bidra til å validere sikkerhets- og personvernbeskyttelsen til en bestemt del av tjenesten, samt gi en positiv indikator for påliteligheten av en tjeneste generelt.

Vi applauderer at du samarbeider med Center for Democracy and Technology for å heve standarder for alle VPN-er i hele bransjen. Kan du fortelle oss mer om dette initiativet?

Ja, Center for Democracy and Technology (CDT) er en uavhengig ideell organisasjon som forkjemper sivile friheter og menneskerettigheter på nettet over hele verden. Vi jobbet med dem for å sette i gang et tverrsektorielt initiativ for å heve standarder i hele bransjen og gi brukerne mulighet til å ta mer informerte beslutninger når de velger en VPN. Dette tok form av en liste over spørsmål som VPN-tjenester skal kunne svare for å signalisere påliteligheten deres. Disse spørsmålene, sammen med veiledning fra CDT, hjelper brukere med å evaluere VPN-leverandører basert på deres forretningsmodeller, datainnsamlingspraksis, sikkerhetsprotokoller og mer.

Jeg liker å tenke på det som en ernæringsetikett for VPN-er, som gir et grunnleggende sett med fakta du kan sammenligne på tvers av ulike tjenester. Og akkurat som en ernæringsetikett kan hjelpe deg med å finne ut hvilken snack som er merket som "sunn" virkelig er bedre for deg, disse spørsmålene og svarene gjør det mulig å bedre bedømme om en VPN-tjeneste som kan skryte av "bransjeledende sikkerhet" virkelig fortjener den etiketten.

Hvordan har responsen på dette vært fra resten av VPN-bransjen?

Vi har hatt mange positive tilbakemeldinger fra industriobservatører, som journalister og anmeldere, så vel som fra brukere. Vi har ikke hørt fra andre leverandører, men vi håper absolutt at de vil bli med oss ​​i vår innsats for å øke tilliten og åpenheten i bransjen!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me