O ExpressVPN publica auditoria externa de segurança e extensão de navegador de código aberto

Uma ilustração de uma fechadura com uma lupa realizada sobre ele. A lente na lupa revela o funcionamento interno da fechadura. Como se a lupa fosse algum tipo de máquina de raio-x mágica, possivelmente do futuro.

Do lado de fora, a maioria das fechaduras tem a mesma aparência. Alguns podem resistir a choques ou choques, outros podem ser reforçados contra exercícios, mas você nunca saberia apenas olhando. Para reconhecer a fechadura mais forte, você deve tentar escolhê-la, pedir a um serralheiro para testá-la ou talvez até desmontá-la para examinar o design..

As VPNs são um pouco assim. Portanto, embora tenhamos certeza de que o ExpressVPN fornece segurança e privacidade líderes do setor, sabemos que pode não ser fácil saber de fora.

Porém, queremos que você seja tão confiante quanto nós, por isso estamos comprometidos em equipá-lo com as informações que você precisa ver por si mesmo. É por isso que publicamos ferramentas de teste de vazamento de código aberto – um pouco parecidas com o fornecimento de um conjunto de truques – e descrevemos nossas práticas de segurança em grande detalhe no ano passado.

Hoje, estamos anunciando duas novas iniciativas de confiança e transparência que permitem a todos verificar se cumprimos nossas promessas: uma auditoria de segurança independente e divulgada publicamente e o código aberto da extensão do navegador ExpressVPN.

Cure53 testou as reivindicações de segurança da ExpressVPN

O teste independente de terceiros é um elemento essencial da abordagem da ExpressVPN à segurança, e regularmente contratamos auditores de segurança e testadores de penetração. No passado, usamos essas auditorias para fortalecer a segurança de nosso serviço, mas à medida que o setor de VPN evolui, também passamos a ver a importância de publicar os resultados como parte de nosso compromisso com a confiança e a transparência. Para esse fim, estamos publicando nossa primeira auditoria independente de segurança pública hoje – a primeira de muitas por vir.

Para essa auditoria, convidamos a respeitada empresa de segurança cibernética Cure53 a realizar uma revisão completa da segurança da extensão do navegador, fornecendo a seus especialistas acesso total ao código-fonte e às compilações. Uma equipe de quatro testadores do Cure53 avaliou as proteções de segurança e privacidade da extensão ao longo de sete dias em outubro de 2018 e, em seguida, acompanhou em meados de novembro para confirmar que os problemas identificados foram corrigidos.

De acordo com o relatório independente da Cure53, disponível publicamente no site da empresa, “os resultados dessa avaliação da extensão do navegador ExpressVPN para Chrome do Cure53 são positivos e o processo de verificação de correção em meados de novembro de 2018 confirma isso”.

Em sua investigação, o Cure53 identificou oito problemas, nenhum dos quais recebeu um nível de gravidade superior a “médio”. O Cure53 afirma que “claramente, este é um bom indicador de segurança.”

Dos problemas, três foram marcados como “médio”, dois “baixo” e três “informativo”. A equipe de engenharia da ExpressVPN abordou prontamente essas descobertas, e o Cure53 verificou isso como parte da auditoria. Cure53 observa ainda que “é necessário sublinhar que não foram descobertos problemas de segurança que permitissem aos [invasores] influenciar o estado da conexão VPN por meio de uma página da Web maliciosa ou similar”. Em outras palavras, nada foi encontrado para impactar fundamentalmente a segurança e a privacidade do núcleo proteção que o ExpressVPN fornece.

Estamos satisfeitos que esta auditoria reafirme e reforce a segurança da extensão do navegador e esperamos compartilhar outras análises independentes em um futuro próximo.

O código aberto permite que qualquer pessoa revise nosso código

Além da auditoria, também publicamos o código-fonte da extensão do navegador ExpressVPN sob uma licença de código-fonte aberto (GNU General Public License, versão 2). Isso permite que você ou qualquer terceiro realize o mesmo tipo de avaliação que o Cure53 conduziu.

Uma das razões pelas quais fizemos isso decorre da maneira como as extensões funcionam. Uma extensão requer um amplo conjunto de permissões para operar, algumas das quais podem parecer alarmantes quando solicitadas pelo seu navegador. (Por exemplo, uma permissão avisa que a extensão pode “ler e alterar todos os seus dados nos sites que você visita”).

Essas permissões são necessárias para fornecer todas as funções de privacidade e segurança de uma VPN, além de benefícios adicionais, como proteção contra malware. Ao fazer o código-fonte aberto de nossa extensão, convidamos qualquer pessoa a olhar por baixo e confirmar que estamos usando essas permissões de forma responsável e apenas pelos motivos que indicamos.

Para visualizar o código-fonte da versão mais recente da extensão do navegador ExpressVPN, consulte nossa página do GitHub.

Nosso compromisso com a confiança e a transparência no setor de VPN

O que anunciamos hoje são duas das etapas mais recentes em nossa busca, não apenas para demonstrar nosso compromisso com a segurança e a privacidade, mas também para ajudar a definir os padrões de confiança e transparência no setor de VPN..

Como observamos no ano passado, quando lançamos uma iniciativa intersetorial com o Center for Democracy and Technology para elevar os padrões de todas as VPNs, acreditamos que qualquer coisa que ajude os usuários da Internet a tomar decisões mais informadas ao escolher uma VPN acaba tornando a Internet mais privada e seguro para todos.

À medida que continuamos a projetar novas e melhores maneiras de proteger a privacidade e a segurança on-line, esperamos publicar mais auditorias, ferramentas e informações que permitam que você veja e decida por si mesmo qual VPN oferece a proteção necessária.

Nota do editor: 2 de agosto de 2019
Em conformidade com nosso compromisso de continuar publicando auditorias mais independentes, recentemente convidamos a PwC para verificar se nossos servidores VPN estão em conformidade com nossa política de privacidade e para auditar nossa tecnologia TrustedServer. Para saber mais e ler o relatório completo de auditoria da PwC, consulte a publicação completa do blog de anúncios.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me