- Home
- Confiança
Centro de Segurança da ExpressVPN
A ExpressVPN é, antes de tudo, uma empresa de privacidade. Nossos usuários confiam em nós para proteger sua privacidade com uma combinação líder no setor de hardware, software e engenhosidade humana. Veja aqui como trabalhamos para ganhar esta confiança.
Segurança na ExpressVPN: Nossas 4 estratégias-chave
Saiba como fazemos cibersegurança para manter nossos sistemas e usuários protegidos.
1. Tornar os sistemas difíceis de serem comprometidos
O software da ExpressVPN é protegido, desde a criação até a sua entrega, contra contaminação por código malicioso, em virtude de um sistema interno de verificação de construção que foi revisado de forma independente.
Nós utilizamos pares de chaves públicas-privadas para uma variedade de objetivos de segurança, como autenticação de dois fatores, assinatura Git commits e conexão com um servidor via SSH. Mitigamos o risco de nossas chaves privadas serem furtadas mantendo-as em dispositivos de segurança de hardware. Isto significa que, mesmo que nossas estações de trabalhos forem comprometidas, um invasor não poderá furtar nossas chaves privadas.
Estes dispositivos são protegidos com frases-chave fortes e são configuradas para se "solidificar" após múltiplas tentativas frustradas de desbloqueio. Os dispositivos exigem contato físico para operar, o que significa que um malware não é capaz de furtar as chaves sem que haja um humano envolvido.
Todo código de produção requer a atuação de pelo menos mais um humano como revisor. Isto dificulta muito a inserção de código malicioso, seja por uma ameaça interna ou pelo comprometimento da estação de trabalho de um funcionário.
Utilizamos SSH como uma forma segura de obter acesso remoto aos nossos principais servidores. Estes servidores SSH são configurados para utilizar apenas conjuntos de codificações, algoritmos de troca de chaves e MACs extremamente seguros. Nós também não permitimos conexão com privilégios de administrador (root) e a autenticação só pode ocorrer através da utilização de chaves SSH fortes — senhas não são permitidas. Utilizamos bastion hosts SSH intermediários para separar a infraestrutura de produção da Internet aberta. Estas máquinas aceitam apenas tráfego de endereços IP que estiverem em uma lista pré-aprovada.
Toda essa configuração é definida em código, então é revisada e reproduzível por pares.
Para as máquinas de produção, as dependências de software são atualizadas automáticamente por meio de melhorias incondicionais.
2. Minimizar possíveis danos
Para mitigar a ameaça de chaves furtadas serem utilizadas para simular um servidor VPN, exigimos que a aplicação da ExpressVPN faça check in com nossos servidores API para receber definições de configuração atualizadas. Nossas aplicações autenticam os servidores com os quais estão se conectando validando a assinatura privada e nome comum da Autoridade Certificadora (AC), garantindo que um invasor não possa se passar por nós.
Quando você usa a ExpressVPN, seus dados são protegidos por matemática avançada em AES-256, o mesmo padrão de criptografia adotado pelo governo americano e usado por especialistas em segurança em todo o mundo para proteger informações classificadas. Quando você usa o gerenciador de senhas da ExpressVPN (ExpressVPN Keys), seus dados sensíveis são protegidos por criptografia de conhecimento zero para que ninguém, nem mesmo nós, possa descriptografar as informações armazenadas no Keys. Todas as informações são descriptografadas apenas no dispositivo do usuário, e só podem ser descriptografadas usando chaves de criptografia geradas pela senha principal do usuário, que só ele conhece.
Para garantir que a solução de IP Dedicado (DIP) da ExpressVPN garanta uma segurança técnica e privacidade robustas, usamos alocação de IP de conhecimento zero e tokens cegos para evitar que os administradores da ExpressVPN identifiquem um usuário a partir de seu endereço IP Dedicado.
A concepção de modelos de segurança e ameaça à privacidade é incorporada na fase de design de qualquer sistema. Nós utilizamos a estrutura MITRE ATT&CK para identificar ameaças que possam existir em nossos designs, consideramos formas de removê-las e aplicamos medidas suficientes para minimizar potenciais riscos.
Todos os nossos usuários, serviços e operações seguem o modelo de privilégios mínimos. As autorizações de acesso dos nossos funcionários estão restritas aos sistemas de serviços e produção necessárias às suas funções. Nossos agentes de suporte ao cliente trabalham sob dois ambientes, um não confiável para atividades gerais de navegação na web e um restrito para acesso à sistemas sensíveis. Estas medidas minimizam o impacto e frustram os objetivos de invasores para assumir o controle de qualquer uma de nossas contas.
3. Minimizar o tempo de comprometimento
Nós monitoramos constantemente nossos serviços e infraestrutura internos para identificar qualquer atividade anômala ou não autorizada. Nossa equipe de segurança está a postos 24 horas por dia 7 dias por semana e realiza o monitoramento e triagem de alertas de segurança em tempo real.
Muitos dos nossos sistemas são automaticamente destruídos e reconstruídos várias vezes por semana, se não diariamente. Isto limita o potencial tempo de espreita de um invasor em nossos sistemas.
4. Validar nossos controles de segurança
Nós realizamos testes de penetração periódicos para avaliar nossos sistemas e software, bem como identificar vulnerabilidades e fraquezas. Nossos testadores possuem acesso completo ao código-fonte e implementam uma combinação de testes automatizados e manuais para garantir uma avaliação completa dos nossos serviços e produtos.
Nós contratamos auditores independentes para revisar a segurança dos nossos serviços e software. Estas contratações servem como uma validação de que nossos controles internos são eficazes na mitigação de vulnerabilidades de segurança, além de oferecer aos clientes documentação sobre as reivindicações de segurança que fazemos sobre os nossos produtos.
Veja a lista completa de relatórios de auditoria
Inovação
Da mesma forma que nos esforçamos para satisfazer e exceder os padrões de segurança do setor, nós também estamos constantemente inovando em uma busca incessante por novas formas de proteger nossos produtos e a privacidade dos nossos usuários. Destacamos duas tecnologias disruptivas criadas pela ExpressVPN.
Lightway: Nosso protocolo que oferece uma experiência VPN superior
O Lightway é um protocolo VPN desenvolvido pela ExpressVPN. Um protocolo VPN é o método através do qual um dispositivo se conecta a um servidor VPN. A maioria dos fornecedores utiliza os mesmos protocolos de sempre, mas nós nos preparamos para criar um com uma performance superior, tornando a experiência de usuários de VPN não apenas mais rápida e estável, mas também mais segura.
O Lightway usa o wolfSSL, cuja biblioteca de criptografia bem estabelecida foi amplamente examinada por terceiros, inclusive em relação ao padrão FIPS 140-2.
O Lightway também preserva o sigilo perfeito, com chaves criptográficas dinâmicas que são regularmente eliminadas e regeneradas.
A base de código principal do Lightway é de fonte aberta, garantindo que ele possa ser transparente e amplamente avaliado para segurança.
O Lightway inclui suporte pós-quântico, protegendo usuários contra invasores com acesso a computadores clássicos e quânticos. A ExpressVPN é um dos primeiros provedores VPN a implantar proteção pós-quântica, ajudando os usuários a se manterem seguros diante dos avanços da computação quântica.
Saiba mais sobre o Lightway e leia nosso dev blog para insights técnicos dos desenvolvedores de software da ExpressVPN sobre como o Lightway funciona e o que o torna melhor dos que os outros.
TrustedServer: Todos os dados eliminados a cada reinicialização
TrustedServer é uma tecnologia de servidor VPN criada por nós que entrega maior segurança aos nossos usuários.
Ele roda apenas em memória volátil, ou RAM. O sistema operacional e aplicativos nunca gravam em discos rígidos, os quais armazenam todos os dados até que sejam apagados ou sobrescritos. Uma vez que a RAM requer energia para armazenar dados, toda a informação em um servidor é apagada cada vez que ele é desligado e ligado novamente - impedindo que os dados e invasores persistam na máquina.
Aumenta a consistência. Com a TrustedServer todos os servidores da ExpressVPN rodam com o software mais atualizado ao invés de cada servidor receber uma atualização em momentos diferentes conforme a necessidade. Isso significa que a ExpressVPN sabe exatamente o que está rodando em todo e qualquer servidor - minimizando o risco de vulnerabilidades ou configurações errôneas, além de otimizar drasticamente a segurança da VPN.
A tecnologia TrustedServer foi auditada pela PwC.
Quer uma visão mais detalhada das muitas maneiras pelas quais a TrustedServer protege os usuários? Leia nossa análise aprofundada sobre a tecnologia, escrita pelo engenheiro que projetou o sistema.
ExpressVPN Keys: Nosso gerenciador de senhas embutido
Keys é um gerenciador de senhas completo criado pela ExpressVPN. Como nossa VPN, o Keys é seguro por design e coloca os usuários no controle de seus dados. Publicamos até um white paper de segurança detalhando o design e a infraestrutura do Keys para garantir uma total transparência.
O Keys permite que os usuários gerem, armazenem e preencham senhas ilimitadas e os alerta sobre ameaças de segurança e violações de dados. Tudo armazenado no Keys é protegido por criptografia de conhecimento zero, o que garante que ninguém, nem mesmo a ExpressVPN, possa descriptografar as informações que nossos usuários armazenam. O Keys está embutido nos aplicativos ExpressVPN para iOS e Android e está disponível como uma extensão do navegador em computadores. Saiba mais sobre o Keys
IP Dedicado da ExpressVPN: Um endereço IP estático com privacidade incomparável
O serviço de IP Dedicado da ExpressVPN atribui um endereço IP único exclusivamente a um único usuário, fornecendo uma identidade online consistente enquanto preserva a privacidade.
Tradicionalmente, com uma VPN, muitos usuários compartilham o mesmo endereço IP, que é um elemento-chave do processo de anonimização da VPN. Com um IP Dedicado atribuído a um único usuário, medidas especiais precisam ser tomadas para garantir o anonimato.
Embora as soluções atuais apresentem vulnerabilidades de segurança e privacidade que potencialmente expõem o endereço IP real de um usuário, tomamos precauções adicionais para manter o anonimato de nossos usuários, conforme explicado em nosso white paper técnico.
Usamos um sistema baseado em token cego para desvincular detalhes de pagamento do IP que atribuimos a um usuário. Isso garante que nunca possamos rastrear um IP Dedicado de volta ao usuário.
Auditorias de segurança independentes
Estamos empenhados em contratar auditorias detalhadas de empresas terceiras para avaliar nossos produtos com grande frequência. Aqui está uma lista abrangente de nossas auditorias externas, ordenadas cronologicamente:
Uma segunda auditoria da Cure53 na extensão do navegador ExpressVPN (junho de 2024)
Auditoria do aplicativo Windows para confirmar a correção de um problema de DNS relacionado ao tunelamento dividido (abril de 2024)
Auditoria pela KPMG para avaliar nossas alegações de política de privacidade (dezembro de 2023)
Segunda auditoria do nosso protocolo VPN Lightway pela Cure53 (novembro de 2022)
Uma auditoria da Cure53 na extensão de navegador ExpressVPN Keys (outubro de 2022)
Uma auditoria da Cure53 na extensão do navegador ExpressVPN (outubro de 2022)
Uma auditoria da KPMG de nossa política de não registro de dados (setembro de 2022)
Uma auditoria de segurança da Cure53 do nosso aplicativo para iOS (setembro de 2022)
Uma auditoria de segurança da Cure53 do nosso aplicativo para Android (agosto de 2022)
Uma auditoria da Cure53 ao nosso aplicativo Linux (agosto de 2022)
Uma auditoria da Cure53 do nosso aplicativo macOS (julho de 2022)
Uma auditoria de segurança da Cure53 do nosso roteador Aircove (julho de 2022)
Uma auditoria de segurança da Cure53 do TrustedServer, nossa tecnologia interna de servidor VPN (maio de 2022)
Uma auditoria da F-Secure do nosso aplicativo Windows v12 (abril de 2022)
Uma auditoria de segurança da F-Secure do nosso aplicativo Windows v10 (março de 2022)
Uma auditoria de segurança da Cure53 do nosso protocolo VPN Lightway (agosto de 2021)
Uma auditoria da PwC Switzerland em nosso processo de verificação de construção (junho de 2020)
Uma auditoria da PwC Switzerland sobre o compliance com nossa política de privacidade e nossa tecnologia interna TrustedServer (junho de 2019)
Uma auditoria de segurança da Cure53 de nossa extensão de navegador (novembro 2018)
Relatório de transparência
Nossos relatórios de transparência semestrais fornecem informações sobre solicitações de dados de usuários recebidas pelo nosso departamento jurídico.
Embora recebamos regularmente essas solicitações, nossa política de não registros garante que nunca tenhamos nada a compartilhar. Nós não mantemos nem nunca vamos manter registros de suas atividades online ou informações pessoais, incluindo seu histórico de navegação, destino de tráfego ou metadados, consultas DNS, ou quaisquer endereços IP que você recebe ao se conectar ao nosso VPN.
Nunca podemos fornecer esses dados do cliente porque simplesmente não existem. Ao publicar esta informação adicional sobre as solicitações que recebemos, pretendemos fornecer ainda mais transparência sobre como protegemos nossos usuários.
Solicitações de dados de usuário
Período: Janeiro - junho 2024
Tipo | Solicitações recebidas |
Solicitações do governo, polícia e civis | 170 |
Solicitações DMCA | 259.561 |
Mandados de qualquer instituição governamental | 2 |
Ordens de silêncio | 0 |
Cartas de Segurança Nacional | 0 |
Período: Julho - dezembro 2023
Tipo | Solicitações recebidas |
Solicitações do governo, polícia e civis | 194 |
Solicitações DMCA | 152.653 |
Mandados de qualquer instituição governamental | 0 |
Ordens de silêncio | 0 |
Cartas de Segurança Nacional | 0 |
Bug bounty
Através do nosso programa de recompensas por identificação de falhas, nós convidamos pesquisadores da área de segurança para testar nossos sistemas e receber prêmios financeiros por qualquer problema que eles encontrarem. Este programa nos dá acesso a um vasto número de testadores que regularmente avaliam nossa infraestrutura e aplicações para problemas de segurança. Estas descobertas são, então, validadas e remediadas, garantindo que os nossos produtos sejam tão seguros quanto possível.
O escopo do nosso programa inclui vulnerabilidades nos nossos servidores VPN, aplicativos, extensões de navegador, site e muito mais. Para os indivíduos que reportam bugs, fornecemos garantia completa em conformidade com as melhores práticas globais em pesquisas de segurança.
Nosso programa de bug bounty é gerenciado pela Bugcrowd. Clique aqui para saber mais ou para reportar um bug.
Liderança no setor
Ao mesmo tempo em que definimos padrões rigorosos para nós mesmos, nós também acreditamos que o nosso trabalho de construir uma Internet mais privada e segura não pode parar por aí - é por isso que nós colaboramos com todo o setor de VPN para aumentar os padrões e melhor proteger os usuários.
Nós cofundamos e temos assento na VPN Trust Initiative (VTI) juntamente com a Internet Infrastructure Coalition (i2Coalition) e vários outros grandes players do setor. Além de seu trabalho contínuo de conscientização e defesa, o grupo lançou os Princípios VTI - diretrizes compartilhadas para provedores VPN responsáveis nas áreas de segurança, privacidade, transparência e muito mais. Isso foi construído a partir do trabalho prévio da ExpressVPN na iniciativa de transparência em parceria com o Center for Democracy and Technology.
Algumas das inovações em que fomos pioneiros ajudaram a impulsionar o setor de VPN. Nós fomos os primeiros a criar a TrustedServer e, desde então, outros têm seguido nossa liderança para implantar tecnologias similares. O Lightway é outro exemplo de tecnologia que construímos do zero, e esperamos que, ao abrir o código-fonte, ele terá uma influência no setor de VPN como um todo.
Iniciativas notáveis em privacidade
Saiba mais sobre como protegemos a privacidade dos nossos usuários.
Certificação ioXT
A ExpressVPN se tornou um dos poucos aplicativos VPN a ser certificado pela ioXt Alliance para padrões de segurança, empoderando clientes para usarem nossos serviços com maior confiança.
Recursos de privacidade no aplicativo
Nós introduzimos um recurso em nosso aplicativo para Android chamado Resumo da Proteção, o qual ajuda os usuários a protegerem sua privacidade com diretrizes práticas.
Laboratório de Segurança Digital
Nós lançamos o Laboratório de Segurança Digital para aprofundar questões do mundo real sobre privacidade. Confira as ferramentas de teste de vazamento, as quais ajudam a validar a segurança da sua VPN.