Onze gebruikers vertrouwen erop dat wij hun digitale leven dagelijks beschermen. We verdienen dat vertrouwen onder andere door regelmatig onafhankelijke cyberbeveiligingsexperts in te schakelen. Zij beoordelen onze producten en valideren de juistheid van onze beveiligingsclaims.
Vandaag zijn we verheugd om drie nieuwe audits van alle desktop-apps van ExpressVPN te delen. We hebben Cure53 de opdracht gegeven om pentests en audits van de broncode uit te voeren op onze desktopapplicaties voor macOS en Linux. Daarnaast vroegen we F-Secure om ook onze Windows v12-app te beoordelen door middel van pentesten en broncode-audits, slechts enkele maanden na de audit van onze vorige Windows app (v10).
We zijn blij met de auditrapporten en onze langdurige samenwerking met beide cybersecurity-bedrijven. Vandaag delen we graag meer bevindingen en inzichten uit de audits met u.
“Als onderdeel van onze voortdurende inspanningen voor vertrouwen en transparantie, kondigen we met trots aan dat al onze desktop-apps nu zijn geauditeerd,” zegt Brian Schirmacher, manager penetratietesten bij ExpressVPN.“Deze audits zijn een bewijs van de moeite die we doen voor het verbeteren en beveiligen van ons product, en we zijn blij met de validatie van Cure53 en F-Secure. We zijn vastberaden om binnenkort audits op onze mobiele apps te leveren, en zullen privacy en beveiliging op elk touchpoint van ons product blijven waarborgen.”
Cure53 valideert de veiligheid van onze macOS- en Linux-apps
Cure53 heeft van juni tot augustus 2022 zowel onze macOS- als Linux-desktop-apps getest door middel van white-box-pentesten en audits van de broncode. Deze beoordelingen zijn essentieel om te bepalen of onze apps beveiligd zijn tegen cybersecurity-aanvallen van kwaadwillenden en valideren het uitgebreide werk van onze technische en beveiligingsexperts.
De audits stelden weinig problemen in onze macOS-app vast. Ze brachten slechts twee beveiligingsproblemen en vier zwakke plekken in de informatievoorziening aan het licht met een laag risico op potentieel misbruik. We hebben alle relevante bevindingen snel aangepakt en Cure53 heeft ook die oplossingen beoordeeld zodat er geen extra zwakheden werden geïntroduceerd.
“Wij concluderen in onze beoordeling dat de nieuwste ExpressVPN-applicatie voor macOS een uitzonderlijk sterke indruk achterlaat wat betreft beveiliging,” schrijft Cure53 in het auditrapport. “Al met al verdient het ExpressVPN-team veel lof voor zijn inspanningen om een uiterst veilige macOS-applicatie te bieden. Er zijn slechts een paar kleine verbeteringen nodig om de beveiliging van het platform naar een voorbeeldig niveau te tillen.”
Ook de audit van onze Linux-app leverde een korte lijst van vijf beveiligingsproblemen op. Het ging om twee beveiligingsproblemen en drie algemene zwakheden met een lager potentieel misbruik, die inmiddels allemaal door ons interne team zijn onderzocht. “De afwezigheid van gebreken met een bovengemiddeld risico, is een andere sterke positieve indicator voor beveiliging als fundamenteel uitgangspunt van ExpressVPN voor Linux,” merkt Cure53 op.
Lees de volledige auditrapporten voor macOS hier en Linux hier.
De Windows v12-app van ExpressVPN is veiliger dan ooit
F-Secure heeft van februari tot maart 2022 een beveiligingsaudit uitgevoerd op onze nieuwste Windows-app (v12). De audit beoordeelde twee belangrijke kenmerken van de app:
- dat de app niet kan worden gemanipuleerd om informatie (zoals het IP-adres van een gebruiker) buiten de VPN-tunnel te lekken.
- dat de app niet vatbaar is voor Remote Code Execution-aanvallen.
Het verheugt ons te kunnen meedelen dat F-Secure geen belangrijke zwakheden heeft gevonden. De onafhankelijke controleurs van F-Secure hebben slechts één informatieprobleem in onze Windows v12-app gevonden, dat niet exploiteerbaar was. Het probleem is al verholpen, wat F-Secure in een hertest in april 2022 heeft bevestigd.
Er werden geen kritieke, grote, middelgrote of kleine problemen gevonden. En net als in hun vorige rapport gaf F-Secure ons een uitstekende beoordeling, met als conclusie: “Het was onmogelijk om informatie over ExpressVPN-klanten te verkrijgen of uit het netwerkverkeer te halen. Evenmin was het mogelijk om op afstand code uit te voeren via aanvallen zoals man-in-the-middle (MITM), TLS-downgrade of packet-injectie.”
Lees het volledige Windows v12-rapport van F-Secure.
Windows v12 verbetert de beveiliging van de app en de integratie met het besturingssysteem aanzienlijk. Bovendien werd de backend opnieuw ontworpen en geoptimaliseerd voor Lightway, ons eigen protocol ontwikkeld voor een snellere, betrouwbaardere en veiligere VPN-ervaring. Dankzij deze veranderingen kunnen onze Windows-gebruikers profiteren van nieuwe functies, zoals parallele verbindingen en Threat Manager. Omwille van die vernieuwingen, wilden we de beveiliging van Windows v12 zo snel mogelijk geverifieerd hebben. Download ExpressVPN voor Windows (v12).
Opmerking: v12 is alleen beschikbaar voor gebruikers van Windows 10 en hoger.
Onze toewijding aan privacy- en veiligheidscontroles door derden
Met deze drie nieuwe audits van onze desktopapps, heeft ExpressVPN nu in totaal 11 audits gepubliceerd Daarmee verzekeren we dat we onze gebruikers de veiligste online ervaring bieden. Hier vindt u onze vorige externe audits en veiligheidsevaluaties:
- Een audit door KPMG van ons beleid tegen logs (september 2022)
- Een veiligheidsaudit door Cure53 van onze Aircove-router (juli 2022)
- Een veiligheidsaudit door Cure53 van TrustedServer, onze interne VPN-servertechnologie (mei 2022)
- Een veiligheidsaudit door F-Secure van onze Windows v10-app (maart 2022)
- Een veiligheidsaudit door Cure53 van ons VPN-protocol Lightway (augustus 2021)
- Een audit door PwC Switzerland over ons bouwverificatieproces (juni 2020)
- Een audit door PwC Switzerland van ons privacybeleid en onze intern ontwikkelde technologie TrustedServer (juni 2019)
- Een veiligheidsaudit door Cure53 van onze browserextensie (november 2018)
We zullen ons blijven inzetten om meer audits door derden uit te voeren. Het is een van de vele manieren waarop we onze gebruikers de veiligste VPN-ervaring kunnen bieden.
We verwijzen in dit artikel soms naar Engelstalige inhoud, omdat we geloven dat het alsnog relevant voor u kan zijn en we hopen dat u er toch van kunt genieten.
Neem de controle over je privacy terug
30 dagen geld-terug-garantie