ExpressVPN declarou um atestado de integridade após uma auditoria de segurança completa.
A empresa contou com a ajuda da empresa de segurança cibernética Cure53 para conduzir uma auditoria de segurança de sua extensão de navegador VPN para Chrome e Firefox para amenizar quaisquer preocupações de segurança. O relatório de teste de penetração (ou Pentest) é menos extenso do que o que a empresa sediada em Berlim fez para a Tunnelbear em 2017, antes de ser adquirida pela McAfee.
Como especialistas em testes de penetração e auditoria de código, Cure53 testa tudo, desde aplicativos e extensões a sites, blog, configuração, servidor, contêiner, infraestrutura e criptografia, embora no caso do ExpressVPN, apenas a extensão do navegador tenha sido examinada.
Uma equipe de quatro membros trabalhou durante uma semana nas duas extensões do navegador - uma auditoria inteira de uma solução VPN pode levar até seis semanas, dependendo da complexidade.
Em uma entrevista por e-mail, Harold Li, VP da ExpressVPN, acrescentou "Conduzimos regularmente auditorias extensas e testes de penetração em todos os aplicativos e sistemas ExpressVPN. Esta é a primeira auditoria que publicamos, mas certamente não será a última. Nós conduza regularmente auditorias extensas e testes de penetração em todos os aplicativos e sistemas ExpressVPN. Esta é a primeira auditoria que publicamos, mas certamente não será a última. "
Falhas de segurança
O Cure53 identificou quatro vulnerabilidades, três classificadas como médias, com quatro problemas diversos, nenhum dos quais justificaria uma atualização fora de banda.
Além disso, observa que “nenhum problema de segurança que permitiria (invasores) influenciar o estado da conexão VPN por meio de uma página da web maliciosa ou algo semelhante foi descoberto”. acrescentando, “vários recursos que inicialmente visavam oferecer melhor privacidade para os usuários, mas foram vítimas de deficiências baseadas no navegador, foram removidos” após este teste, algo que considera positivo.
Além da auditoria, o código-fonte da extensão do navegador (que requer a execução do cliente VPN) foi lançado sob uma licença de código aberto que permite que outros examinem a extensão com mais detalhes.
ExpressVPN, que atualmente lidera o melhor guia de compra de VPN, já se comprometeu a fazer auditorias de segurança pública mais independentes, uma tendência à qual outras empresas como NordVPN, VyprVPN, IPVanish e Tunnelbear já aderiram.
IVPN, Mullvad, TunnelBear e VyprVPN e ExpressVPN também fizeram parceria com o Center for Democracy & Technology, uma organização sem fins lucrativos que defende as liberdades civis e os direitos humanos online globais e pediu uma estrutura mais transparente para a indústria de VPN operar dentro.
- Confira os melhores provedores de VPN agora