Dit artikel legt uit hoe de beveiliging van ExpressVPN onafhankelijk wordt getest door externe partijen, wat deze audits omvatten en hoe je de rapporten kunt lezen.

Ga naar…

Hoe ExpressVPN onafhankelijk wordt geaudit
Wat de audits van ExpressVPN omvatten
Wie de audits van ExpressVPN uitvoert
Het lezen van een ExpressVPN-auditrapport
Toegang tot de auditrapporten van ExpressVPN

Hoe ExpressVPN onafhankelijk wordt geaudit

ExpressVPN laat sinds 2018 regelmatig onafhankelijke audits uitvoeren en blijft dit doen naarmate producten zich verder ontwikkelen. Deze audits worden uitgevoerd door externe beveiligingsbedrijven die toegang krijgen tot broncode, interne infrastructuur en relevante documentatie van het onderdeel dat wordt onderzocht. Hun rol is om te controleren of de systemen en software van ExpressVPN functioneren zoals beschreven en om eventuele kwetsbaarheden of problemen te identificeren.

Elk auditbedrijf werkt volledig zelfstandig en hanteert zijn eigen methodologie en standaarden. ExpressVPN heeft geen invloed op de bevindingen of conclusies van de auditors.

Wanneer er problemen worden gevonden, worden deze opgenomen in het gepubliceerde rapport. Auditors kunnen daarnaast hercontroles uitvoeren om te bevestigen dat deze problemen zijn opgelost. Het vinden van problemen tijdens een beveiligingsaudit is een normaal onderdeel van het proces: dat is precies waar onafhankelijke tests voor bedoeld zijn.

Elke audit weerspiegelt de status van de systemen van ExpressVPN op het moment van testen. Daarom worden audits regelmatig uitgevoerd in plaats van als eenmalige exercitie.

Hulp nodig? Neem contact op met de helpdesk van ExpressVPN voor directe ondersteuning.

Terug naar boven


Wat de audits van ExpressVPN omvatten

Audits worden uitgevoerd op verschillende onderdelen van het product en de infrastructuur van ExpressVPN. Er wordt onder andere beoordeeld op onderstaande gebieden:

  • Lightway-protocol: het eigen VPN-protocol van ExpressVPN, intern ontwikkeld en open source, dat bepaalt hoe apparaten verbinding maken met VPN-servers.
  • TrustedServer: servertechnologie die volledig op RAM draait, zodat alle data wordt gewist bij elke herstart van een server.
  • Desktop- en mobiele VPN-apps: de ExpressVPN-apps voor Windows, macOS, Linux, iOS en Android.
  • Browserextensies: de extensies voor Chrome en Firefox, evenals de ExpressKeys-wachtwoordmanagerextensie.
  • Aanvullende diensten: ExpressAI (privacygerichte AI-platform), ExpressMailGuard (beveiligde e-maildoorstuurdienst) en Identity Defender (identiteitsbeschermingsdiensten, alleen VS). Er loopt ook een audit voor ExpressKeys (wachtwoordmanager).
  • Aircove-routers: routerhardware van ExpressVPN die VPN-beveiliging op netwerkniveau toepast in plaats van per apparaat.
  • Het no-logsbeleid en de privacybeloften: controle of de technische infrastructuur en interne processen overeenkomen met wat in het privacybeleid wordt beschreven. Je hier meer lezen over het no-logsbeleid van ExpressVPN.
  • Het build-verificatiesysteem: proces dat waarborgt dat software die aan gebruikers wordt geleverd overeenkomt met de broncode ter bescherming tegen manipulatie tijdens de distributie.

Hulp nodig? Neem contact op met de helpdesk van ExpressVPN voor directe ondersteuning.

Terug naar boven


Wie de audits van ExpressVPN uitvoert

ExpressVPN werkt binnen het auditprogramma samen met verschillende gevestigde, onafhankelijke cybersecurity- en professionele dienstverleners, waaronder:

  • Cure53: een Duits cybersecuritybedrijf gespecialiseerd in penetratietests en beveiligingsaudits.
  • KPMG: een van de grootste professionele dienstverleners ter wereld, actief op het gebied van audit- en assurance-diensten volgens internationaal erkende standaarden.
  • PwC Zwitserland: de Zwitserse tak van een van ’s werelds grootste dienstverlenende organisaties, die audit- en assurance-diensten verleent.
  • F-Secure: een Fins cybersecuritybedrijf met uitgebreide ervaring in kwetsbaarheidsonderzoek en securitytesting.
  • Praetorian: een Amerikaans cybersecuritybedrijf gespecialiseerd in offensieve beveiliging en technische risicoanalyses.

Hulp nodig? Neem contact op met de helpdesk van ExpressVPN voor directe ondersteuning.

Terug naar boven


Het lezen van een ExpressVPN-auditrapport

Niet alle auditrapporten hebben dezelfde structuur. Binnen het auditprogramma van ExpressVPN bestaan twee hoofdtypen rapporten, afhankelijk van wat er is onderzocht:

Penetratietests en broncode-audits

Dit type rapport bevat doorgaans:

  • Scope: definieert precies wat er is getest, inclusief specifieke softwareversies of code-commits, en vermeldt expliciet wat buiten de scope viel. De scope maakt duidelijk waar de audit wel en niet over kan oordelen.
  • Testmethodologie: beschrijft de gehanteerde testaanpak en -technieken, doorgaans onderverdeeld naar de verschillende onderdelen van de software die zijn beoordeeld. Dit omvat ook onderdelen die zijn onderzocht, zelfs als daarbij geen problemen werden aangetroffen.
  • Definitie van ernstniveaus: beschrijft het classificatiesysteem dat wordt gebruikt om bevindingen in te delen. Elke classificatie heeft een vastgestelde betekenis die de auditor consequent toepast op alle bevindingen.
  • Vastgestelde kwetsbaarheden: een overzicht van elk gevonden beveiligingsprobleem, voorzien van een unieke identificatiecode, ernstclassificatie, technische beschrijving, ‘proof-of-concept’ (indien van toepassing) en een opmerking over de oplossing waarin wordt bevestigd of het probleem is verholpen en geverifieerd.
  • Overige kwesties: omvat zwakheden die geen direct uitbuitbare kwetsbaarheden vormen, maar wel een aanvaller kunnen helpen of verbeterpunten aangeven.
  • Conclusie van de auditor: een afsluitende verklaring waarin de algemene beoordeling van de auditor wordt samengevat. Deze conclusies zijn opgesteld door het auditbureau, niet door ExpressVPN, en weerspiegelen de onafhankelijke visie van de auditor.

Assurance (zekerheids)-audits

Deze rapporten bevatten geen lijst met kwetsbaarheden en gebruiken geen ernstclassificaties. In plaats daarvan beoordeelt de auditor of de technische controles en interne processen van ExpressVPN voldoen aan vooraf gedefinieerde criteria. De conclusie waarnaar gezocht moet worden, is of de accountant assurance heeft geboden en of er afwijkingen zijn geconstateerd.

Hulp nodig? Neem contact op met de helpdesk van ExpressVPN voor directe ondersteuning.

Terug naar boven


Toegang tot de auditrapporten van ExpressVPN

Elk rapport, inclusief eventuele geconstateerde problemen, wordt in zijn geheel gepubliceerd zoals aangeleverd door de auditor. Alle gepubliceerde rapporten zijn volledig te lezen op expressvpn.com/trust.

Hulp nodig? Neem contact op met de helpdesk van ExpressVPN voor directe ondersteuning.

Terug naar boven

Heeft dit artikel je geholpen?

Het spijt ons dat te horen. Laat ons weten wat we kunnen verbeteren.

Een van onze helpdeskmedewerkers gaat je punt oppakken.