ExpressVPN menerbitkan audit keselamatan di luar dan sambungan pelayar sumber terbuka
Dari luar, kebanyakan kunci kelihatan sama. Ada yang mungkin menentang memilih atau menabrak, yang lain mungkin diperkuat terhadap latihan, tetapi anda tidak akan tahu hanya dengan melihat. Untuk mengenali kunci terkuat, anda perlu mencuba untuk memilih sendiri, meminta tukang kunci untuk mengujinya, atau mungkin mengambilnya untuk memeriksa reka bentuk.
VPN agak seperti itu. Oleh itu, walaupun kami yakin ExpressVPN menyediakan keselamatan dan privasi yang terkemuka di industri, kami tahu ia mungkin tidak mudah untuk memberitahu dari luar.
Kami mahu anda menjadi yakin seperti yang kita, jadi, kami komited untuk melengkapkan anda dengan maklumat yang anda perlukan untuk melihat sendiri. Itulah sebabnya kami menerbitkan alatan pengujian kebocoran sumber terbuka-agak serupa dengan menyediakan set kunci kunci dan menggariskan amalan keselamatan kami dengan terperinci pada tahun lalu.
Hari ini, kami mengumumkan dua amanah dan inisiatif ketelusan baru yang membolehkan semua orang mengesahkan bahawa kami memenuhi janji kami: audit keselamatan bebas yang dikeluarkan secara terbuka dan sumber terbuka sambungan pelayar ExpressVPN.
Cure53 meletakkan tuntutan keselamatan ExpressVPN untuk ujian
Ujian pihak ketiga yang bebas adalah elemen utama pendekatan ExpressVPN terhadap keselamatan, dan kami sering melibatkan juruaudit keselamatan dan penguji penembusan. Pada masa lalu, kami telah menggunakan audit ini untuk mengukuhkan keselamatan perkhidmatan kami, tetapi apabila industri VPN berkembang, kami juga melihat kepentingan penerbitan keputusan sebagai sebahagian daripada komitmen kami untuk kepercayaan dan ketelusan. Untuk tujuan itu, kami menerbitkan audit keselamatan pertama yang bebas, hari ini-yang pertama yang akan datang.
Untuk audit ini, kami menjemput firma keselamatan cybersecurity yang dihormati Cure53 untuk menjalankan kajian keselamatan menyeluruh mengenai pelanjutan penyemak imbas kami, memberikan pakar akses penuh kepada kod sumber dan membina. Satu pasukan empat penguji Cure53 menilai keselamatan dan perlindungan privasi pelanjutan itu selama tujuh hari pada Oktober 2023, kemudian disusuli pada pertengahan bulan November untuk mengesahkan bahawa sebarang isu yang telah dikenal pasti telah ditetapkan.
Menurut laporan bebas Cure53, tersedia secara terbuka di laman web firma itu, “hasil penilaian Cure53 ini terhadap pelanjutan penyemak imbas ExpressVPN untuk Chrome adalah positif, dan proses pengesahan fix pada pertengahan November 2023 mengesahkannya.”
Dalam siasatannya, Cure53 mengenal pasti lapan isu, tidak ada yang menerima tahap keparahan yang lebih tinggi daripada “medium.” Cure53 menyatakan bahawa “cukup jelas, ini adalah penunjuk keselamatan yang baik.”
Daripada isu itu, tiga telah ditandakan sebagai “sederhana,” dua “rendah,” dan tiga “maklumat”. Pasukan kejuruteraan ExpressVPN segera menangani penemuan ini, dan Cure53 mengesahkannya sebagai sebahagian daripada audit. Cure53 mencatatkan lagi bahawa “perlu ditegaskan bahawa tiada isu keselamatan yang akan membolehkan [penyerang] mempengaruhi keadaan sambungan VPN melalui laman web berniat jahat atau sama ada ditemui.” Dengan kata lain, tiada apa yang didapati memberi impak dasar dan keselamatan teras perlindungan yang diberikan oleh ExpressVPN.
Kami gembira bahawa audit ini menegaskan semula dan menguatkan keselamatan pelanjutan penyemak imbas kami, dan kami tidak sabar-sabar untuk berkongsi ulasan bebas lagi dalam masa terdekat.
Sumber terbuka membolehkan sesiapa mengkaji semula kod kami
Sebagai tambahan kepada audit, kami juga menerbitkan kod sumber pelanjutan penyemak imbas ExpressVPN di bawah lesen sumber terbuka (GNU General Public License, versi 2). Ini membolehkan anda atau mana-mana pihak ketiga menjalankan jenis penilaian yang sama yang dilakukan oleh Cure53.
Salah satu sebab yang kami lakukan ini berpunca daripada cara penyambungan. Pelanjutan memerlukan set keizinan yang luas untuk beroperasi, ada yang mungkin kelihatan membimbangkan apabila diminta oleh penyemak imbas anda. (Sebagai contoh, satu kebenaran memberi amaran bahawa pelanjutan itu boleh “membaca dan mengubah semua data anda di tapak web yang anda lawati.”)
Kebenaran ini diperlukan untuk menyampaikan semua fungsi privasi dan keselamatan VPN serta faedah tambahan, seperti perlindungan malware. Dengan membuka sumber penyambungan kami, kami menjemput sesiapa sahaja untuk melihat di bawah tudung dan mengesahkan bahawa kami menggunakan kebenaran ini secara bertanggungjawab dan hanya untuk alasan yang kami berikan.
Untuk melihat kod sumber versi pelanjutan penyemak imbas ExpressVPN, lihat halaman GitHub kami.
Komitmen kami untuk mempercayai dan ketelusan dalam industri VPN
Apa yang telah kami diumumkan hari ini adalah dua langkah terbaru dalam usaha kami untuk tidak hanya menunjukkan komitmen kami terhadap keselamatan dan privasi tetapi juga membantu menetapkan bar untuk kepercayaan dan ketelusan dalam industri VPN.
Seperti yang kita nyatakan pada tahun lepas ketika kami melancarkan inisiatif lintas-industri dengan Pusat Demokrasi dan Teknologi untuk menaikkan piawaian untuk semua VPN, kami percaya bahawa apa saja yang membantu pengguna internet membuat keputusan yang lebih bijak apabila memilih VPN akhirnya menjadikan internet lebih peribadi dan selamat untuk semua.
Semasa kami terus membuat kejuruteraan cara baru dan lebih baik untuk melindungi privasi dan keselamatan dalam talian, kami tidak sabar-sabar untuk menerbitkan lebih banyak audit, alat, dan pandangan yang membolehkan anda melihat dan memutuskan sendiri VPN yang memberikan perlindungan yang anda perlukan.
Catatan Editor: 2 Ogos 2023
Selaras dengan komitmen kami untuk terus menerbitkan lebih banyak audit bebas, kami baru-baru menjemput PwC untuk mengesahkan pelayan VPN kami mematuhi dasar privasi kami dan untuk mengaudit teknologi TrustedServer kami. Untuk mengetahui lebih lanjut dan membaca laporan audit penuh PwC, lihat catatan blog pengumuman kami.