Audit PureVPN: chaque cloud a une doublure argentée (No-Logs Verified)

Audit PureVPN pour aucun journal

PureVPN rejoint les rangs des meilleurs services VPN pour faire vérifier leurs déclarations de non-journalisation, dans le cadre de leur engagement à fournir une confidentialité et une sécurité solides à ses clients du monde entier, bien qu'ils soient incroyablement compatibles avec les poches!

Le cabinet d'audit de sécurité, Altius IT, a analysé PureVPN’s journaux concernant les requêtes DNS, le trafic sortant, les sites Web visités, l'historique de navigation, le temps de connexion, l'utilisateur’adresse IP d'origine, IP VPN attribuée, journaux de connexion et activités de navigation. 

Ils ont également testé PureVPN’s les fichiers journaux système, les documents d'infrastructure réseau et les configurations système, après quoi ils ont officiellement donné à PureVPN une note nette sur leurs revendications de non-journaux.

Comme les audits deviennent une tendance dans l'industrie VPN, j'ai décidé de proposer une série de requêtes techniques, en les envoyant à différents services VPN qui ont subi un audit.

Étant donné que PureVPN n'a publié que récemment des nouvelles de leur audit, ils ont été assez proactifs pour répondre à nos questions, fournissant des réponses détaillées:

1. Pourquoi avez-vous choisi Altius IT?

Nous avons choisi Altius IT en raison de ses 25 ans d'expérience et de son accréditation pour les audits de sécurité (ISACA for CISA, CRISC & CGEIT). Ils sont basés en Californie, qui est bien connue pour les grandes sociétés Internet grand public.

Ils ont une expérience des architectures d'entreprise et de consommation à l'échelle d'Internet. Et ils comprennent les nuances de confidentialité requises par les entreprises à l'échelle d'Internet pour opérer dans un contexte mondial.

L'approche informatique d'Altius était impressionnante. L'équipe informatique d'Altius nous a surpris par leur rigueur, les dirigeants de l'entreprise devenant des utilisateurs mystères, effectuant des travaux d'audit pratiques et une analyse des menaces. Le caractère unique des scénarios et le nombre d'activités d'audit étaient inattendus.

2. Quelle était l'étendue de cette vérification?

Il s'agissait d'un audit intensif de bout en bout. Nous avons autorisé et provisionné tous les accès pour qu'ils puissent ramasser les systèmes qu'ils’je veux à leur guise. Ils ont examiné tout, de nos serveurs VPN aux configurations, aux services de systèmes et aux API..

Ils ont également examiné nos bases de données et retracé l'intégralité des flux de données pour s'assurer qu'aucune information identifiable par l'utilisateur n'était stockée nulle part. Le rapport d'audit complet est disponible pour les éditeurs sur demande et a été mis à la disposition de tous nos utilisateurs dans l'espace membres.

3. Quelles étapes supplémentaires envisagez-vous, le cas échéant, pour rassurer les utilisateurs sur les normes de confidentialité les plus élevées?

Cet audit fait partie d'une série d'étapes que nous prenons pour consolider notre engagement envers une véritable confidentialité. En plus d'être le premier à se conformer au RGPD et à avoir la politique de confidentialité la plus transparente à ce jour, PureVPN est le premier et le seul fournisseur à avoir un programme public de primes aux bogues payées (Bugcrowd.com/purevpn) où 90 000+ communauté forte de pirates du chapeau blanc tester et renforcer en permanence notre service. Nous nous efforçons jour et nuit de fournir de plus en plus de valeur à des millions d'abonnés dans plus de 120 pays qui nous font confiance pour leur sécurité et leur confidentialité..

Notre prochain mouvement, que nous gardons près de la poitrine pour l'instant, sera tout aussi excitant et une première dans l'industrie pour nos abonnés soucieux de la confidentialité.

4. Comment vérifiez-vous l'absence de journal tout en imposant des limites aux connexions simultanées?

Nous don’t besoin de journaux pour surveiller les connexions utilisateur simultanées. Nous nous appuyons simplement sur l'état de connexion LIVE pour trouver le nombre de connexions actives, qui sont immédiatement coupées si elles dépassent la limite spécifiée.

Par exemple, si l'un de nos utilisateurs se connecte à un nœud VPN et utilise ensuite le même compte pour établir une autre connexion VPN, le nombre de comptages passe de 1 à 2 sur notre gestionnaire de session centralisé (audité par les auditeurs indépendants). Si une autre connexion est ajoutée en plus de cela, elle devient 3.

Si l'utilisateur continue d'ajouter plus de connexions, dépassant éventuellement le nombre 5, ce qui est notre limite - toutes les connexions sont instantanément interrompues (et l'utilisateur recevra un e-mail indiquant qu'il a violé notre “limite de multilogins”).

5. Les nœuds de terminaison VPN ont la pleine possession de l'identité et des activités de l'utilisateur. Comment vous assurez-vous que les informations sont supprimées après la fin d'une session?

Tous les nœuds de terminaison VPN sont configurés via un système de gestion de la configuration centralisée pour NE PAS explicitement enregistrer l'identité et l'activité de l'utilisateur, donc aucune suppression d'informations n'est requise.

6. Qu'advient-il du fichier openvpn.log et des informations qu'il contient lors de la connexion / déconnexion VPN?

Tous les services OpenVPN en cours d'exécution sur PureVPN’Les noeuds de terminaison ne stockent aucun journal en raison des variables de configuration initialement définies:

log / dev /nul
statut / dev /nul

Ce qui signifie essentiellement que les journaux d'OpenVPN, qui sont activés par défaut, ont été désactivés et acheminés via / dev / null. Pour élaborer, / dev / null est un fichier spécial appelé ‘appareil nul’ dans les systèmes Unix.

Cette partie des systèmes UNIX peut être fondamentalement conclue comme un emplacement où chaque bit d'information est immédiatement rejeté lorsqu'il y est écrit et ne renvoie un EOF de fin de fichier qu'une fois lu.

7. Comment PureVPN’L'API kill switch de l'API arrête l'enregistrement des adresses IP des utilisateurs?

PureVPN’s Internet kill switch n'utilise aucun service basé sur API et n'enregistre PAS non plus aucun type d'adresse IP utilisateur.

8. Les équilibreurs de charge sont utilisés par les fournisseurs VPN pour transférer la connexion au serveur de terminaison VPN. Comment pouvez-vous l'empêcher d'enregistrer des informations, même si c'est momentanément?

PureVPN utilise différentes techniques pour répartir la charge utilisateur / connexion sur les nœuds VPN, de la même manière que nous utilisons les serveurs API pour trouver les meilleurs serveurs possibles. Par conséquent, nous n'utilisons pas d'équilibreurs de charge en ligne et donc nos utilisateurs ne’t être exposé.

9. Comment arrêter l'enregistrement des chemins d'URL dans les journaux d'API?

Les serveurs API garantissent qu'un serveur VPN avec la meilleure vitesse possible est mis à la disposition de l'utilisateur en fonction de ses sélections. Aucun type de journalisation du système et des services n'a été trouvé sur le serveur API, comme l'ont vérifié les auditeurs indépendants.

10. Qu'est-ce que PureVPN’s processus pour garantir que les serveurs virtualisés ou conteneurisés n'enregistrent pas de données?

Les serveurs virtualisés ou conteneurisés ne font aucune différence pour nous, nous appliquons nos politiques et processus de confidentialité sur tous les types de serveurs utilisés. La société d'audit elle-même a sélectionné au hasard différents serveurs pour tester nos réclamations sans journaux.

Nous utilisons des playbooks de configuration pour implémenter de manière centralisée aucune journalisation sur tous nos serveurs VPN, ce qui inclut Linux, Windows et leurs variantes virtuelles et bare metal. 

Cet audit de sécurité est le résultat d'un procès, où un homme du Massachusetts a été arrêté pour cyberharcèlement contre une ancienne colocataire et les membres de sa famille / amis.

Les documents judiciaires ont indiqué que les journaux fournis par PureVPN du FBI, ont aidé à la poursuite. Bien que cela ait aidé à terminer un an’s misère de la misère pour la victime, le fournisseur basé à Hong Kong a été traîné dans la boue par le respect de la vie privée.

À la lumière de cet événement, PureVPN a réorganisé sa politique de confidentialité, mentionnant clairement qu'ils ne conservent aucune information personnellement identifiable (PII) de ses utilisateurs..

Envelopper les choses

Après avoir posé ces questions et regardé PureVPN’s histoire récente des initiatives innovantes de l'industrie (et de certaines égalisations), je suis convaincu que le fournisseur ne cesse de grimper parmi les meilleurs acteurs du marché et reste impatient de voir quelle sera sa prochaine décision!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me