我们的常驻数字隐私专家 Doug Crawford 与 ExpressVPN 副总裁 Harold Li 坐下来讨论他们如何在不断发展的行业中保持相关性、值得信赖和透明。
我们喜欢这样一个事实:诸如 Cure53 浏览器扩展程序审核之类的审核有助于为 VPN 行业带来透明度。为什么你认为这如此重要?
当用户选择 VPN 时,他们信任该服务的在线隐私和安全性。我们非常重视这种信任和责任,我们希望 VPN 行业的其他人也这样做。透明度是帮助用户确定可以信任的人的一种方式,使他们能够亲眼目睹服务是否兑现其承诺。我们相信,任何有助于互联网用户在选择 VPN 时做出更明智决策的方法最终都会使互联网对所有人来说更加私密和安全。
您对审核结果满意吗?
是的,我们很高兴收到独立验证,证明我们的浏览器扩展提供了强大的安全和隐私保护 - 正如 Cure53 报告指出的那样,他们的发现是“一个良好的安全指标”。此外,我们始终很高兴收到有关我们可以改进的地方的反馈,并且很高兴能够与 Cure53 合作及时解决他们确实发现的问题。
您是否计划对主要 VPN 客户端进行技术审核?我们知道这可能会很昂贵,因为大概每个平台都需要进行独立审核?
是的,事实上,我们定期进行审计和渗透测试,以验证和加强安全和隐私保护。此次审计是我们发布的第一份审计报告,我们计划在不久的将来发布更多独立审计报告。
我们认为,VPN 公司保留的日志对用户隐私构成的威胁比任何理论上的技术安全缺陷都要大得多。您是否同意?ExpressVPN 是否有计划在未来对其日志记录进行审核?
可以说,泄漏的 VPN 比记录 VPN 的威胁更大,因为泄漏会影响每个用户(否则他们会认为自己的网络数据是安全的),并使他们面临广泛的威胁,而日志收集主要只影响那些根据法院命令要求提供信息的用户。在 ExpressVPN,我们不收集活动日志或连接日志,这实际上已经在现实世界中通过一些事件得到了验证,例如土耳其当局在一个引人注目的案件中扣押了 ExpressVPN 租用的 VPN 服务器,但找不到任何服务器日志来帮助他们识别罪魁祸首。我们确实有计划在未来对此进行进一步的独立验证——敬请期待!
您能解释一下为什么开源代码如此重要吗?
正如我们在公告中提到的,我们这样做的一个关键原因源于扩展的工作方式。当您的浏览器请求时,扩展程序运行所需的大量权限可能看起来令人震惊。 (例如,一项权限警告该扩展程序可以读取和更改您访问的网站上的所有数据。)这些权限对于提供 VPN 的所有隐私和安全功能以及恶意软件防护等附加优势是必需的。通过开源我们的扩展,我们邀请任何人深入了解并确认我们正在负责任地使用这些权限,并且仅出于我们给出的原因。
您计划将来开源所有代码吗?
如上所述,有一些特定的原因表明它与我们的扩展特别相关。我们可能会在我们认为相关且有益的特定领域开源代码的其他部分(不仅限于应用程序和扩展程序,还包括 VPN 服务器)。
总的来说,我们是开源代码的忠实粉丝,但谈到 VPN 时,我们对其价值有些不清楚。毕竟,VPN 提供商在使用其服务时始终可以实时监控用户在互联网上的行为。那么,将恶意封闭源代码添加到客户端或浏览器扩展中是否有任何意义,因为它们无论如何都可以看到一切?那么...为什么您认为开源扩展有价值?
对于延期,有上面强调的具体好处。毫无疑问,任何特定领域的透明度都不是信任 VPN 提供商的万能药,但它可以帮助验证特定服务部分的安全和隐私保护,并为整体服务的可信度提供积极指标。
我们对您与民主与技术中心合作提高整个行业所有 VPN 的标准表示赞赏。您能告诉我们更多关于这一举措的信息吗?
是的,民主与技术中心 (CDT) 是一个独立的非营利组织,致力于捍卫世界各地的在线公民自由和人权。我们与他们合作发起了一项跨行业计划,以提高整个行业的标准,并使用户在选择 VPN 时能够做出更明智的决定。这采用了 VPN 服务应该能够回答的一系列问题的形式,以表明其可信度。这些问题与 CDT 的指导一起帮助用户根据其业务模式、数据收集实践、安全协议等来评估 VPN 提供商。
我喜欢将其视为 VPN 的营养标签,提供一组可以在各种服务之间进行比较的基线事实。正如营养标签可以帮助您确定哪种标有“健康”的零食真正更适合您一样,这些问题和答案使您能够更好地判断一个拥有“行业领先安全性”的 VPN 服务是否真正配得上这个标签。
VPN 行业的其他公司对此有何反应?
我们从行业观察家(例如记者和评论家)以及用户那里得到了很多积极的反馈。我们还没有收到其他提供商的消息,但我们绝对希望他们能与我们一起努力提高行业的信任和透明度!