KPMG подтвердила: ExpressVPN не ведёт логи активности пользователей
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Внешние аудиторы ExpressVPN подтвердили политику отсутствия логирования данных на конец февраля. Как заявляет провайдер VPN на своем сайте, "ExpressVPN никогда не сохраняет данные, которые могли бы связать вас с какой-либо онлайн-активностью". Независимый аудит, проведенный в конце февраля, поддерживает эти утверждения. Аудиторская компания KPMG установила "разумную степень уверенности" в том, что система VPN-провайдера предотвращает запись активности пользователей. Этот продукт входит в число лучших VPN-сервисов по версии Engadget.
Аудит поставил систему TrustedServer ExpressVPN под жесткое лупу. Это система, основанная на оперативной памяти. В теории это означает, что данные пользователей стираются при каждой перезагрузке сервера. (Таким образом, предотвращается даже возможность длительного хранения данных.) Некоторые конкуренты, включая NordVPN, также используют серверы на основе ОЗУ. Между тем, ProtonVPN утверждает, что правильно зашифрованные жесткие диски так же безопасны.
Еще одним контраргументом к серверам на основе ОЗУ является то, что они эффективны только в том случае, если их перезагружают. В теории компания могла бы использовать ОЗУ-серверы только в рекламных целях, но никогда не перезагружать их. Вот тут-то и понадобятся аудиты.
KPMG уверена, что система без логирования функционировала так, как было заявлено, в конце февраля. "Контроли обеспечивают разумную уверенность в том, что TrustedServer ExpressVPN не собирает логи активности пользователей", - говорится в отчете KPMG. Это включает "отсутствие логов истории просмотров, направления трафика, содержания данных, DNS-запросов или конкретных логов подключений".
Оценка KPMG была аудитом типа ISAE 3000 Тип I. Это означает, что она сосредоточилась на проектировании и реализации контроля ExpressVPN в определенный момент времени. (Тем временем аудит Тип II более углублённый: он тестировал бы эффективность этих контролей в течение длительного времени.) Если вы не в курсе, KPMG — одна из четырех крупнейших аудиторских компаний. Это доверяемое имя, за аудиты которого корпорации готовы отплачивать круглые суммы.
Оценка рассмотрела несколько факторов. В них входят анализ документации, наблюдение за работой системы и интервью с персоналом ExpressVPN. Заключение аудита применяется "по состоянию на 28 февраля 2025 года". Таким образом, оно представляет собой выводы KPMG на определенный момент времени, а не универсальные заявления о постоянном доверии. Оценка также не включала стресс-тестирования всей системы или полноценный анализ безопасности компании.
Вы можете ознакомиться с полным отчетом KPMG для более детального разбора.
На фоне всеобъемлющего интереса к вопросам приватности, внешние аудиторы — эти незаменимые зоркие глаза в мире VPN — подтвердили «чудесную» политику отсутствия логирования данных у ExpressVPN. Как удобно, что аудиторская компания KPMG, которая не гнушается брать немалые суммы за свои услуги, уверенно вскрыла «разумную степень уверенности» в том, что всё именно так, как задумано. Сами понимаете, кто не мечтает о таком идеальном пиар-ходе.
Мы видим, как система TrustedServer ExpressVPN работает на оперативной памяти. Кажется, соединение между рекламой и реальностью в данной теме можно проводить бесконечно, но, по словам провайдера, данные пользователей стираются при каждой перезагрузке сервера. Очень удобно, особенно для пользователей, которые, возможно, не задумывались, что при этом можно держать серверы в вечном спячке. А кто будет отслеживать, действительно ли они перезагружаются? Уверены, конкуренты схватятся за обрывки своего недовольства.
Как бы ни смеялись над рекламными трюками, KPMG уверена в своих выводах — они заключили, что «контроли обеспечивают разумную уверенность», и даже огласили список изящных понятий вроде отсутствия логов истории просмотров и DNS-запросов. Иногда кажется, что с таким набором фраз неудивительно, что аудит без их тщательных "проверок" был бы просто недосмотром.
Аудит ISAE 3000 Тип I — это как оценка грима на премьере: шапочно и без спроса о том, как на самом деле этот грим будет выглядеть после нескольких часов. Это подтверждение вопросительного рода фактов на конкретный момент — в данном случае на конец февраля. Такой подход не только настораживает, но и подразумевает, что аудит мог бы с легкостью обойтись и без каких-либо стресс-тестов.
Рука пожимает руку, а в мире VPN кто-то в очередной раз рассчитывает на том, что все любители анонимности спишутся на благородные намерения, забывая, что просто ждать от таких оценок стандартов безопасности было бы наивно. Полный отчет KPMG, кажется, попал в ловко расставленные сети, где подробности поджидают своей очереди. Ловите момент, пока он еще свеж!