ExpressVPN heeft een schone gezondheidsverklaring afgekondigd na een volledige beveiligingsaudit.
Het bedrijf riep de hulp in van cyberbeveiligingsbedrijf Cure53 om een beveiligingsaudit uit te voeren van hun VPN-browserextensies voor Chrome en Firefox om eventuele veiligheidsproblemen weg te nemen. Het penetratietestrapport (of Pentest) is minder uitgebreid dan het rapport dat het in Berlijn gevestigde bedrijf deed voor Tunnelbear in 2017 voordat het werd overgenomen door McAfee.
Als specialist in penetratietesten en code-auditing test Cure53 alles, van apps en extensies tot websites, blog, configuratie, server, container, infrastructuur en codering, hoewel in het geval van ExpressVPN alleen de browserextensie onder de loep werd genomen.
Een team van vier leden werkte meer dan een week aan de twee browserextensies - een volledige audit van een VPN-oplossing kan tot zes weken duren, afhankelijk van de complexiteit.
In een interview per e-mail voegde Harold Li, VP bij ExpressVPN, toe: "We voeren regelmatig uitgebreide audits en penetratietests uit op alle ExpressVPN-apps en -systemen. Dit is de eerste audit die we hebben gepubliceerd, maar het zal zeker niet de laatste zijn. voer regelmatig uitgebreide audits en penetratietesten uit op alle ExpressVPN apps en systemen. Dit is de eerste audit die we hebben gepubliceerd, maar het zal zeker niet de laatste zijn. "
Veiligheidsproblemen
Cure53 identificeerde vier kwetsbaarheden, waarvan drie geclassificeerd als medium, met vier verschillende problemen, die geen van allen een out-of-band upgrade rechtvaardigen.
Het merkt verder op dat "er geen beveiligingsproblemen zijn ontdekt die (aanvallers) in staat zouden stellen de staat van de VPN-verbinding te beïnvloeden via een kwaadwillende webpagina of iets dergelijks." toe te voegen, "verschillende functies die aanvankelijk bedoeld waren om gebruikers betere privacy te bieden maar het slachtoffer werden van browsergebaseerde tekortkomingen, werden verwijderd" na deze test, iets wat het als positief beschouwt.
Naast de audit is de broncode van de browserextensie (waarvoor de VPN-client moet worden uitgevoerd) vrijgegeven onder een open-source licentie waardoor anderen de extensie in meer details kunnen onderzoeken.
ExpressVPN, dat momenteel de beste VPN-koopgids is, heeft zich al gecommitteerd om meer onafhankelijke openbare beveiligingsaudits uit te voeren, een trend waar anderen zoals NordVPN, VyprVPN, IPVanish en Tunnelbear zich al bij hebben aangesloten.
IVPN, Mullvad, TunnelBear en VyprVPN en ExpressVPN werkten ook samen met het Center for Democracy & Technology, een non-profitorganisatie die voorstander is van wereldwijde online burgerlijke vrijheden en mensenrechten en heeft opgeroepen tot een transparanter kader waarbinnen de VPN-industrie kan opereren.
- Bekijk nu de beste VPN-providers