Inhoudsopgave:
Video: PureVPN Review 2020 | Is a Hong Kong-based VPN a good idea now? (November 2024)
"VPN-logs hielpen de vermeende 'net stalker" te ontmaskeren, is een alarmerende kop, omdat het hele punt van het gebruik van een virtueel particulier netwerk is om onopgemerkt te surfen.
Maar zoals The Register meldt, gebeurde dat met een man genaamd Ryan Lin, die werd gearresteerd voor het cyberstalking van zijn voormalige kamergenoot, gedeeltelijk omdat de VPN-provider van Lin, PureVPN, de FBI hielp bij hun onderzoek door logboeken over te dragen. Dat klinkt slecht, maar in dit geval lijkt PureVPN te hebben gehandeld binnen het vermelde privacybeleid. Je kunt VPN's nog steeds zo goed vertrouwen als je ooit hebt gedaan.
Laat me eerst duidelijk zijn: het vermeende gedrag van Lin is grof. Naar verluidt ging hij tot het uiterste om een vrouw lastig te vallen en te demoraliseren. De politie die samenwerkt met technologiebedrijven om hem te arresteren, is een voorbeeld van het systeem dat werkt, en het feit dat hij werd gearresteerd laat zien hoe ver we zijn gekomen met betrekking tot online activiteiten als echte misdaden. Slechts een paar jaar geleden zou iemand die doxxing deed niet zijn opgenomen in een lijst met gemene criminele activiteiten. Ik hoop dat iedereen die zijn acties zou nastreven er beter van denkt.
Afgezien daarvan lijkt het duidelijk dat deze man zou zijn gearresteerd zonder de informatie verkregen van PureVPN. Het register meldt:
"Uit de klacht bleek dat hij een fundamentele fout maakte door een werkcomputer te gebruiken voor een deel van zijn campagne, en hoewel hij was beëindigd en het besturingssysteem opnieuw op de machine was geïnstalleerd, bleven er voetafdrukken achter voor onderzoekers om Lin te associëren met de 16 -maandcampagne tegen Smith."
Het rapport gaat niet gedetailleerd in op welke informatie is hersteld van Lin's werkcomputer, maar de betrokkenheid is aanzienlijk. Beveiligingsonderzoekers wijzen er altijd snel op dat als je het apparaat van het doelwit kunt verkrijgen, je effectief hebt gewonnen.
Dit is wat The Register zegt dat onderzoekers van PureVPN hebben ontvangen:
"'Significant was dat PureVPN kon vaststellen dat hun klant toegang had tot dezelfde service vanaf twee oorspronkelijke IP-adressen, ' beweren de FBI (naar verluidt waren die IP-adressen op het werk en thuisadres van Lin)."
Het is gemakkelijk om dat te lezen en aan te nemen dat PureVPN, en misschien alle VPN-bedrijven, de activiteiten van gebruikers bewaken en bereid zijn logboeken over te dragen aan onderzoekers. Maar ik geloof niet dat dat het geval is. Voor mij klinkt dit alsof PureVPN eenvoudigweg heeft bevestigd dat zijn service door dezelfde klant op twee verschillende IP-adressen is ingelogd. Veel VPN's registreren informatie over de oorsprong van gebruikers, meestal om redenen voor gegevensroutering.
Het artikel zegt ook: "Uit records van PureVPN blijkt dat dezelfde e-mailaccounts werden benaderd vanaf hetzelfde WANSecurity IP-adres." Dat is stompzinniger, maar het klinkt niet als bevestiging dat PureVPN het gedrag van gebruikers volgt. Hoogstens deelde PureVPN het oorspronkelijke IP-adres, het adres waarmee de man verbonden was en het IP-adres van de VPN-server die de gebruiker gebruikte.
In haar privacybeleid zegt PureVPN een paar belangrijke dingen.
"We hebben daarom geen gegevens over uw activiteiten, zoals welke software u hebt gebruikt, welke websites u hebt bezocht, welke inhoud u hebt gedownload, welke apps u hebt gebruikt, enz. Nadat u verbinding had gemaakt met een van onze servers. Onze servers registreren automatisch het tijdstip waarop u maakt verbinding met een van onze servers. Vanaf nu houden we geen gegevens bij van iets dat een specifieke activiteit aan een specifieke gebruiker zou kunnen koppelen. Het tijdstip waarop een succesvolle verbinding met onze servers wordt gemaakt, wordt geteld als een 'verbinding' en de totale bandbreedte die tijdens deze verbinding wordt gebruikt, wordt 'bandbreedte' genoemd. Verbinding en bandbreedte worden bijgehouden om de kwaliteit van onze service te behouden."
Het privacybeleid van PureVPN maakt twee dingen duidelijk. Ten eerste dat het bedrijf e-mailadressen verzamelt (het maakt deel uit van uw login en het factureringssysteem van het bedrijf). Het is niet echt een "no log" -beleid en beweert dat niet te zijn. Het verzamelt informatie over verbindingen op zijn netwerk, maar niet de inhoud van gebruikersactiviteiten. Ten tweede lijkt het bedrijf informatie te hebben over welke van haar servers door klanten worden gebruikt.
Het privacybeleid van PureVPN zegt ook over medewerking aan onderzoeken:
"PureVPN zet zich in voor vrijheid en ondersteunt geen criminaliteit, we zullen alleen informatie delen met autoriteiten met geldige dagvaardingen, bevelschriften, andere juridische documenten of met vermeende slachtoffers die een duidelijk bewijs hebben van dergelijke activiteiten. Wanneer en als een bevoegde rechtbank beveelt ons of een vermeend slachtoffer vraagt ons (dat we rigoureus zelf beoordelen) om enige informatie vrij te geven, met het juiste bewijs, dat onze diensten werden gebruikt voor elke activiteit waarvan u ermee instemde zich niet over te geven toen u akkoord ging met onze Servicevoorwaarden, dan zullen we alleen specifieke informatie over die specifieke activiteit presenteren, op voorwaarde dat we over dergelijke activiteiten beschikken."
Kortom, PureVPN zal samenwerken met onderzoekers die hen een geldig bevel geven. Na een interne beoordeling van het bevel, zal PureVPN beslissen om al dan niet te voldoen. Het zegt ook dat het alleen informatie zal overhandigen die het bij de hand heeft - niet dat het zijn netwerken zal gebruiken om vermeende criminelen te bespioneren. Belangrijk is dat PureVPN gevestigd is in Hong Kong. Voor VPN-gebruikers is dit eigenlijk best goed, omdat Hong Kong geen wetten voor het bewaren van gegevens heeft, waardoor PureVPN de vrijheid krijgt om te beslissen wat ze willen opslaan en voor hoe lang.
Ik ben geen juridisch expert, maar het lijkt belangrijk dat een in China gevestigd bedrijf Amerikaanse onderzoekers heeft nageleefd. Het suggereert dat het bedrijf heeft meegewerkt op basis van de verdiensten van het onderzoek en niet wettelijk verplicht was om dit te doen, maar dat is speculatie van mijn kant.
Voor mij klinkt dit veel als metadata. Het is de datum en tijd van de verbinding, en waarschijnlijk enige informatie over de binnenkomende en uitgaande IP-adressen. Het is, belangrijker nog, geen informatie over waar gebruikers van daar naartoe zijn gegaan. Dat betekent dat onderzoekers die informatie ergens anders moesten krijgen en moesten matchen met de informatie die werd verkregen van PureVPN.
Dit alles is niet om het belang van metadata te bagatelliseren. De massale metadatacollectie door de NSA was aanstootgevend vanwege de schaal en het feit dat onschuldige mensen werden getroffen. Dat lijkt hier niet het geval te zijn.
Zijn VPN's betrouwbaar?
Vergis u niet: wanneer u een VPN gebruikt, vertrouwt u hen met ongekende toegang tot uw informatie. Daarom neem ik het zeer serieus wanneer een VPN-bedrijf wordt beschuldigd van of wordt geknoeid met gebruikersgegevens die door het systeem van het bedrijf passeren. Dit is ook de reden waarom het zo belangrijk is om het privacybeleid van een bedrijf te lezen. Als je het niet kunt vinden of het is zo ingewikkeld dat het onleesbaar is, is dat bedrijf misschien niet de moeite waard. Een privacybeleid is natuurlijk alleen maar woorden, maar we moeten ergens beginnen.
Het is ook heel belangrijk om te onthouden dat geen enkele beveiligingstool een magische kogel is en dat een gerichte aanval of onderzoek bijna altijd succesvol zal zijn. VPN's zijn het beste in het beschermen van uw gegevens tegen onderschepping op uw lokale netwerk en voorkomen dat uw informatie wordt meegesleurd in massale surveillance-inspanningen. Als onderzoekers u al als een verdachte beschouwen en toegang hebben tot ander bewijsmateriaal, zijn deze beveiligingen al onbeslist.
In het geval van PureVPN lijkt het bedrijf het vertrouwen van zijn gebruikers niet te hebben geschonden - zelfs Lin niet, die de service naar verluidt zou gebruiken voor criminele handelingen. Ik zal contact opnemen met het bedrijf voor opheldering (en zal indien nodig updaten), maar voor mij klinkt dit als een best-case scenario. Een crimineel, een specifiek individu, werd het doelwit voor onderzoek en een technologiebedrijf gaf de beperkte informatie die het had.
Ik wil niet als pure PureVPN-verdediger afkomen. Ik wil liever een beetje rust en begrip rond beveiligingshulpmiddelen. Het internet is niet gebouwd met privacy en veiligheid in het achterhoofd, wat de verantwoordelijkheid legt op gebruikers om zichzelf te beschermen. We kunnen niet bang zijn voor deze tools en we moeten allemaal leren wat ze doen en hoe ze het beste kunnen worden gebruikt.
