All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

For production machines, software dependencies are updated automatically via unattended upgrades.

To mitigate the threat of stolen keys being used to impersonate a VPN server, we require the ExpressVPN application to check in with our API servers to receive updated configuration settings. Our applications authenticate the servers they are connecting to by validating the private Certificate Authority (CA) signature and common name ensuring that an attacker cannot impersonate us.

Security and privacy threat modeling is incorporated into the design phase of any system. We use the MITRE ATT&CK framework to identify threats that can exist in our designs, consider ways to remove them, and apply sufficient measures to minimize potential risks.

Få {{bonus_days}} dager ekstra gratis på hvilket som helst abonnement når du registrerer deg nå.

Ikke gå glipp av det! Få {{bonus_months}} måneder gratis når du tegner et 12-måneders abonnement.

Home
Klarering

ExpressVPN Klareringssenter

ExpressVPN er først og fremst et personvernselskap. Våre brukere stoler på at vi beskytter personvernet deres med en bransjeledende kombinasjon av maskinvare, programvare og menneskelig kløkt. Her får du en titt på hvordan vi jobber for å vinne denne tilliten.

A dog walker, an adult and child, and someone with their phone.

Sikkerhet hos ExpressVPN: Våre 4 hovedstrategier

Les om hvordan vi jobber med cybersikkerhet for å beskytte systemene og brukerne våre.

1. Gjøre systemene vanskelige å kompromittere

Verifiseringssystem for builds

Fysiske sikkerhetsenheter

Vi bruker felles-private nøkkelpar for en rekke sikkerhetsformål, for eksempel tofaktorautentisering, signering av Git-commits og tilkobling til en server via SSH. Vi reduserer risikoen for at våre private nøkler blir stjålet ved å holde dem på fysiske sikkerhetsenheter. Dette innebærer at selv om arbeidsstasjonene våre er kompromittert, kan ikke en angriper stjele våre private nøkler.

Disse enhetene er sikret med sterke passordfraser og er konfigurert til å «mure» seg selv etter flere mislykkede forsøk på å låse dem opp. Enhetene krever fysisk berøring for å fungere, noe som betyr at skadelig programvare ikke kan stjele nøklene uten at et menneske er involvert.

Kodegjennomgang

Herdet sikkert skall (SSH)

Vi bruker SSH som en sikker måte å få ekstern tilgang til våre kritiske servere på. Disse SSH-serverne er konfigurert til å kun bruke et sett med svært sikre chiffreringer, nøkkelutvekslingsalgoritmer og MAC-er. Vi tillater heller ikke tilkobling som root, og autentisering kan bare skje med sterke SSH-nøkler – ingen passord er tillatt. Vi bruker mellomliggende SSH-bastionverter for å skille produksjonsinfrastruktur fra det åpne internettet. Disse maskinene aksepterer bare trafikk fra IP-adresser som er hvitelistet.

All denne konfigurasjonen er definert i kode, så den er kvalitetssikret og reproduserbar.

Raske oppdateringer

2. Minimere potensielle skader

Nulltillit

For å redusere trusselen for at stjålne nøkler blir brukt til å etterligne en VPN-server, krever vi at ExpressVPN-applikasjonen sjekker inn med API-serverne våre for å motta oppdaterte konfigurasjonsinnstillinger. Våre applikasjoner autentiserer serverne de kobler til ved å validere signaturen fra den private sertifiseringsinstansen (CA) og det vanlige navnet for å sikre at en angriper ikke kan utgi seg for å være oss.

Bruk av nullkunnskapskryptering

Når du bruker ExpressVPN, er dataene dine beskyttet av avansert matematikk i AES-256, den samme krypteringsstandarden som er tatt i bruk av USAs regjeringen og stoles på av sikkerhetseksperter over hele verden for å beskytte klassifisert informasjon. Når du bruker ExpressVPNs passordlagring (ExpressVPN Keys), er dine sensitive data beskyttet av nullkunnskapskryptering slik at ingen — ikke engang vi — kan dekryptere informasjonen som er lagret i Keys. All informasjon dekrypteres kun på brukerens enhet, og kan kun dekrypteres ved hjelp av krypteringsnøkler generert av brukerens hovedpassord — som kun de kjenner.

For å sikre at ExpressVPNs dedikerte IP (DIP)-løsning opprettholder robust teknisk sikkerhet og personvern, bruker vi nullkunnskaps-IP-allokering og blindsymboler for å forhindre at ExpressVPN-administratorer noen gang kan identifisere en bruker ut fra deres dedikerte IP-adresse.

Sikkert design

Modellering av sikkerhets- og personverntrussel er integrert i designfasen til ethvert system. Vi bruker rammeverket MITER ATT&CK for å identifisere trusler som kan finnes i designene våre, vurderer måter å fjerne dem på, og iverksetter tilstrekkelige tiltak for å minimere potensiell risiko.

Prinsippet om det minste privilegium

Alle våre brukere, tjenester og operasjoner følger modellen for det minste privilegium. Våre ansatte har kun autorisert tilgang til tjenestene og produksjonssystemene som er nødvendige for rollen deres. Våre kundestøtteagenter jobber under to miljøer, et uklarert miljø for generelle nettlesingsaktiviteter og et restriktivt miljø for tilgang til sensitive systemer. Disse tiltakene minimerer innvirkningen og saboterer målene til angriperne hvis de skulle klare å ta over kontrollen til noen av kontoene våre.

3. Minimere tiden for skadepotensial

Sikkerhetsovervåking

Automatisk gjenoppbygging

4. Validere sikkerhetskontrollene våre

Intern validering: Inntrengingstester

Vi utfører regelmessige inntrengingstester for å evaluere våre systemer og programvare for å identifisere sårbarheter og svakheter. Våre testere har full tilgang til kildekoden og bruker en kombinasjon av automatisert og manuell testing for å sikre en grundig gjennomgang av våre tjenester og produkter.

Ekstern validering: Sikkerhetsrevisjoner av tredjeparter

Vi engasjerer uavhengige revisorer for å vurdere sikkerheten til tjenestene og programvarene våre. Disse engasjementene fungerer som en bekreftelse på at de interne kontrollene våre er effektive for å redusere sikkerhetssårbarheter, samtidig som de tilbyr kundene dokumentasjon på nøyaktigheten av sikkerhetspåstandene vi gjør om produktene våre.

Se hele listen over revisjonsrapporter

Innovasjon

Vi streber etter å etterleve og overgå bransjens sikkerhetsstandarder, og vi innoverer stadig i en konstant jakt på nye måter å sikre produktene våre og brukernes personvern på. Her beskriver vi to banebrytende teknologier som er bygd av ExpressVPN.

Lightway: Protokollen vår tilbyr en overlegen VPN-opplevelse

Lightway er en VPN-protokoll bygget av ExpressVPN. En VPN-protokoll er metoden en enhet bruker for å koble til en VPN-server. De fleste leverandører bruker de samme standardprotokollene, men vi bestemte oss for å utvikle en med overlegen ytelse, noe som gjør brukernes VPN-opplevelse ikke bare raskere og mer pålitelig, men også sikrere.

Lightway bruker wolfSSL, hvis veletablerte kryptografibibliotek har blitt grundig gransket av tredjeparter, inkludert mot FIPS 140-2-standarden.
Lightway bevarer også «perfect forward secrecy» (PFS), med dynamiske krypteringsnøkler som regelmessig slettes og regenereres.
Kjernebiblioteket til Lightway har åpen kildekode, noe som sikrer gjennomsiktighet og omfattende sikkerhetsvurdering.
Lightway inkluderer postkvantestøtte, og beskytter brukere mot angripere med tilgang til både klassiske datamaskiner og kvantedatamaskiner. ExpressVPN er en av de første VPN-leverandørene som implementerer postkvantebeskyttelse, og hjelper brukere med å forbli sikre i møte med fremskritt innen kvantedatabehandling.

Les mer om Lightway, og les utviklerbloggen vår for teknisk innsikt fra ExpressVPNs programvareutviklere om hvordan Lightway fungerer og hva som gjør den bedre enn andre protokoller.

TrustedServer: Alle data slettes ved hver omstart

TrustedServer er VPN-serverteknologi vi har utviklet som gir brukerne våre større sikkerhet.

Den kjører bare på flyktig minne, eller RAM. Operativsystemet og appene skriver aldri til harddisker, som beholder alle data til de blir slettet eller skrevet over. Siden RAM krever strøm for å lagre data, slettes all informasjonen på en server hver gang den slås av og på igjen – noe som hindrer både data og potensielle inntrengere i å være igjen på maskinen.
Den er mer konsekvent. Med TrustedServer kjører hver eneste ExpressVPN-server den mest oppdaterte programvaren i stedet for at hver server mottar en oppdatering til forskjellige tider etter behov. Det betyr at ExpressVPN vet nøyaktig hva som kjører på hver eneste server, noe som minimerer risikoen for sårbarheter eller feilkonfigurering og forbedrer VPN-sikkerheten betraktelig.
TrustedServer-teknologien har blitt revidert av PwC.

Vil du ha en mer detaljert titt på de mange måtene TrustedServer beskytter brukere på? Les vårt dypdykk i teknologien, skrevet av ingeniøren som designet systemet.

ExpressVPN Keys: Vår innebygde passordlagring

Keys er en fullverdig passordlagringsløsning utviklet av ExpressVPN. Som vårt VPN, er Keys sikker av design og gir brukere kontroll over sine data. Vi har til og med publisert et sikkerhetshvitbok som detaljerer Keys' design og infrastruktur for full åpenhet.

Keys lar brukere generere, lagre og fylle ut ubegrenset passord og varsler dem om sikkerhetstrusler og datainnbrudd. Alt som er lagret i Keys sikres av nullkunnskapskryptering, som sikrer at ingen — ikke engang ExpressVPN — kan dekryptere informasjonen brukerne våre lagrer. Keys er innebygd i ExpressVPN-apper for iOS og Android, og er tilgjengelig som en nettleserutvidelse på datamaskiner. Les mer om Keys

ExpressVPNs dedikerte IP: En statisk IP-adresse med enestående personvern

ExpressVPNs dedikerte IP-tjeneste tildeler en unik IP-adresse eksklusivt til en enkelt bruker, og gir en konsekvent nettidentitet samtidig som personvernet bevares.

Med et VPN deler mange brukere tradisjonelt den samme IP-adressen, som er et nøkkelelement i VPN-ets anonymiseringsprosess. Med en dedikert IP som er tildelt en enkelt bruker, må det gjøres spesielle tiltak for å sikre anonymitet.

Mens løsninger i dag presenterer sårbarheter i sikkerhet og personvern som potensielt eksponerer en brukers egentlige IP-adresse, har vi tatt ekstra forholdsregler for å opprettholde våre brukeres anonymitet, som forklart i vår tekniske hvitbok.

Vi bruker et blindt token-basert system for å koble betalingsdetaljene dine fra IP-en vi tildeler deg. Dette sikrer at vi aldri kan spore en dedikert IP tilbake til brukeren.

Uavhengige sikkerhetsrevisjoner

Vi er forpliktet til å sette i gang grundige tredjepartsrevisjoner av produktene våre med stor hyppighet. Her er en omfattende liste over våre eksterne revisjoner, sortert kronologisk:

En andre revisjon av ExpressVPN-nettleserutvidelsen gjort av Cure53 (juni 2024)
En revisjon av Windows-appen for å verifisere utbedringen av et DNS-problem relatert til delt tunnelering (april 2024)
En revisjon av KPMG for å vurdere våre personvernpolicyer (desember 2023)
Den andre revisjonen av VPN-protokollen vår Lightway av Cure53 (november 2022)
En revisjon av Cure53 av nettleserutvidelsen ExpressVPN Keys (oktober 2022)
En revisjon av Cure53 av ExpressVPN-nettleserutvidelsen (oktober 2022)
En revisjon av KPMG av våre retningslinjer for ingen logger (september 2022)
En sikkerhetsrevisjon av Cure53 av iOS-appen vår (september 2022)
En sikkerhetsrevisjon av Cure53 av Android-appen vår (august 2022)
En revisjon av Cure53 av Linux-appen vår (august 2022)
En revisjon av Cure53 av macOS-appen vår (juli 2022)
En sikkerhetsrevisjon av Cure53 av Aircove-ruteren vår (juli 2022)
En sikkerhetsrevisjon av Cure53 av TrustedServer, vår interne VPN-serverteknologi (mai 2022)
En revisjon av F-Secure av Windows v12-appen vår (april 2022)
En sikkerhetsrevisjon av F-Secure av Windows v10-appen vår (mars 2022)
En sikkerhetsrevisjon av Cure53 av VPN-protokollen vår Lightway (august 2021)
En revisjon av PwC Switzerland på byggeverifiseringsprosessen vår (juni 2020)
En revisjon av PwC Switzerland av vår overholdelse av personvernreglene og vår interne teknologi TrustedServer (juni 2019)
En sikkerhetsrevisjon av Cure53 av nettleserutvidelsen vår (november 2018)

Transparensrapport

Våre halvårlige transparensrapporter gir informasjon om forespørsler om brukerdata mottatt av vår juridiske avdeling.

Selv om vi regelmessig mottar slike forespørsler, sørger våre retningslinjer mot loggføring for at vi aldri har noe å dele. Vi hverken lagrer eller vil noen gang lagre logger over dine nettaktiviteter eller personopplysninger, inkludert surfehistorikk, trafikkdestinasjon eller metadata, DNS-forespørsler, eller noen IP-adresser du blir tildelt når du kobler til vårt VPN.

Vi kan aldri oppgi disse kundedataene fordi de rett og slett ikke eksisterer. Ved å publisere denne tilleggsinformasjonen om forespørslene vi mottar, ønsker vi å gi enda mer innsyn i hvordan vi beskytter våre brukere.

Forespørsler om brukerdata

Datoperiode: januar–juni 2024

Type	Forespørsler mottatt
Forespørsler fra myndigheter, politi og sivile	170
DMCA-forespørsler	259 561
Ransakingsordrer fra noen myndighetsinstitusjon	2
Taushetsordre	0
Nasjonale sikkerhetsbrev	0

None of the requests resulted in the disclosure of user-related data.

Datoperiode: juli–desember 2023

Type	Forespørsler mottatt
Forespørsler fra myndigheter, politi og sivile	194
DMCA-forespørsler	152 653
Ransakingsordrer fra noen myndighetsinstitusjon	0
Taushetsordre	0
Nasjonale sikkerhetsbrev	0

None of the requests resulted in the disclosure of user-related data.

Bug bounty

Gjennom bug bounty-programmet vårt inviterer vi sikkerhetsforskere til å teste systemene våre og motta økonomiske belønninger for eventuelle problemer de finner. Dette programmet gir oss tilgang til et stort antall testere som jevnlig vurderer infrastrukturen og applikasjonene våre for sikkerhetsproblemer. Disse funnene blir deretter validert og utbedret for å sikre at produktene våre er så sikre som mulig.

Omfanget av programmet vårt inkluderer sårbarheter i våre VPN-servere, apper og nettleserutvidelser, nettstedet vårt og mer. For enkeltpersoner som rapporterer feil, tilbyr vi full safe harbor i samsvar med globale beste fremgangsmåter innen sikkerhetsforskning.

Bug bounty-programmet vårt administreres av Bugcrowd. Følg denne lenken for å finne ut mer eller rapportere en feil.

A bar graph with an arrow on the highest bar.

Bransjelederskap

Vi setter høye standarder for oss selv, men vi mener også at arbeidet vårt med å bygge opp et mer privat og sikkert internett ikke kan stoppe der – det er derfor vi samarbeider med hele VPN-bransjen for å heve standarden og beskytte brukerne bedre.

Vi var med på å grunnlegge og lede VPN Trust Initiative (VTI) sammen med Internet Infrastructure Coalition (i2Coalition) og flere andre store bransjeaktører. I tillegg til sin pågående påvirkningskampanje og arbeid for bevisstgjøring, har gruppen lansert VTI-prinsippene – delte retningslinjer for ansvarlige VPN-leverandører innenfor områdene sikkerhet, personvern, åpenhet og mer. Dette bygger på ExpressVPNs tidligere arbeid for åpenhet i samarbeid med Center for Democracy and Technology.

Noen av innovasjonene vi har vært i forkant av har bidratt til å drive framgang i VPN-bransjen. Vi var de første som utviklet TrustedServer, og andre har siden fulgt etter oss for å lansere lignende teknologi. Lightway er et annet eksempel på teknologi vi har bygd fra grunnen av, og vi håper at ved å tilby den som åpen kildekode, vil den ha innflytelse på VPN-bransjen som helhet.

Viktige personverninitiativer

Finn ut mer om hvordan vi beskytter personvernet til brukerne våre.

ioXT-sertifisert

ExpressVPN har blitt en av få VPN-apper som er sertifisert av ioXt Alliance for sikkerhetsstandarder, noe som gir forbrukerne muligheten til å bruke tjenestene våre med større trygghet.

Personvernfunksjoner i appen

Vi har introdusert en funksjon i appen vår for Android, kalt Beskyttelsessammendrag, som hjelper brukere med å beskytte personvernet med praktiske retningslinjer.

Digital Security Lab

Vi har lansert Digital Security Lab for å ta et dypdykk i virkelige personvernproblemer. Se verktøyene for lekkasjetesting, som hjelper deg med å bekrefte sikkerheten til VPN-et ditt.