מרכז האמון של ExpressVPN
ב-ExpressVPN, הפרטיות היא מעל הכל. המשתמשים שלנו סומכים עלינו שנגן עליהם בעזרת שילוב מוביל בתעשייה של חומרה, תוכנה ומומחיות אנושית. כך אנחנו פועלים כדי לזכות באמון הזה.
האבטחה ב-ExpressVPN: 4 האסטרטגיות המרכזיות שלנו
למדו איך אנחנו מיישמים אבטחת סייבר כדי לשמור על המערכות שלנו ועל המשתמשים שלנו מוגנים.
1. הקשחת הגנה על המערכות
אימות גרסה
תוכנת ExpressVPN מוגנת משלב הפיתוח ועד לאספקה, ומפני החדרת קוד זדוני הודות למערכת פנימית לאימות גרסה שנבדקה באופן עצמאי.
התקני אבטחת חומרה
אנחנו משתמשים בזוגות מפתחות ציבורי-פרטי למגוון מטרות אבטחה, כמו אימות דו-שלבי, חתימה על commits ב-Git והתחברות לשרת באמצעות SSH. אנחנו מפחיתים את הסיכון לגניבת המפתחות הפרטיים שלנו באמצעות שמירתם על גבי התקני אבטחת חומרה. כלומר, גם אם תחנות העבודה שלנו נפרצות, התוקף לא יכול לגנוב את המפתחות הפרטיים שלנו.
התקנים אלה מאובטחים באמצעות ביטויי סיסמה חזקים ומוגדרים כך שיינעלו לצמיתות לאחר כמה ניסיונות כושלים לפתוח אותם. הפעלת ההתקנים מחייבת מגע פיזי, כך שתוכנה זדונית אינה יכולה לגנוב את המפתחות ללא מעורבות אנושית.
סקירת קוד
כל קוד ייצור חייב להיבדק על ידי סוקר אחד לפחות. כך קשה הרבה יותר להחדיר קוד זדוני, בין אם מדובר באיום פנימי ובין אם תחנת העבודה של עובד נפרצה.
מעטפת מאובטחת מחוזקת (SSH)
אנחנו משתמשים ב-SSH כדי לקבל גישה מרחוק מאובטחת לשרתים הקריטיים שלנו. שרתי ה-SSH האלה מוגדרים להשתמש רק בקבוצת צפנים, אלגוריתמים להחלפת מפתחות ו-MACs ברמת אבטחה גבוהה במיוחד. בנוסף, אנחנו לא מאפשרים להתחבר כ-root, והאימות יכול להתבצע רק באמצעות מפתחות SSH חזקים - ללא סיסמאות. אנחנו משתמשים בשרתי bastion מסוג SSH כדי להפריד בין תשתית הייצור לבין האינטרנט הפתוח. מכונות אלה מקבלות תעבורה רק מכתובות IP הנמצאות ברשימת היתרים.
כל התצורה הזו מוגדרת בקוד, ולכן היא עוברת סקירת עמיתים וניתנת לשחזור.
עדכוני אבטחה מהירים
בסביבות הייצור שלנו, תלויות התוכנה מתעדכנות אוטומטית באמצעות עדכונים ללא השגחה.
2. הגבלת נזק פוטנציאלי
גישת אפס אמון
כדי לצמצם את הסיכון לשימוש במפתחות גנובים לצורך התחזות לשרת VPN, אנחנו דורשים מאפליקציית ExpressVPN לבצע תקשורת עם שרתי ה-API שלנו כדי לקבל הגדרות תצורה מעודכנות. האפליקציות שלנו מאמתות את השרתים שאליהם הן מתחברות על ידי אימות החתימה של רשות האישורים הפרטית (CA) והשם המשותף, ובכך מבטיחות שתוקף לא יוכל להתחזות לנו.
הצפנת אפס-ידע
כשאתם משתמשים ב-ExpressVPN, כל הנתונים שלכם מוגנים בהצפנת AES-256, התקן שמשמש את ממשלת ארה"ב ואת מומחי אבטחה בעולם לצורך הגנה על מידע מסווג.
כאשר אתם משתמשים במנהל הסיסמאות של ExpressVPN (ExpressKeys), המידע הרגיש שלכם מוגן באמצעות הצפנת אפס-ידע, כך שאף אחד - גם לא אנחנו – יכול לפענח את המידע המאוחסן ב-ExpressKeys. הפענוח מתבצע רק במכשיר של המשתמשים, באמצעות מפתחות שנוצרים מהסיסמה הראשית שלהם - שרק הם יודעים.
גם בכתובת ה-IP הייעודית (DIP) של ExpressVPN, אנחנו משתמשים בהקצאת כתובת IP בתצורת אפס-ידע וב-blind tokens, כדי למנוע ממנהלי ExpressVPN לזהות משתמשים על סמך כתובת ה-IP הייעודית שלהם.
תכנון בטוח
מידול איומי אבטחה ופרטיות משולב בשלב התכנון של כל מערכת. אנחנו משתמשים במערכת MITRE ATT&CK כדי לזהות איומים העלולים להתקיים בתכנונים שלנו, לבחון דרכים להסרתם, וליישם אמצעים מספקים לצמצום הסיכונים הפוטנציאליים.
עקרון ההרשאה המינימלית
כל המשתמשים, השירותים והפעולות שלנו פועלים לפי מודל ההרשאה המינימלית. לעובדים שלנו ניתנת גישה רק לשירותים ולמערכות הייצור הנחוצים לתפקידם. נציגי שירות הלקוחות שלנו עובדים בשתי סביבות: סביבה לא מאובטחת לצורך פעילויות כלליות של גלישה ברשת, וסביבה מאובטחת לצורך גישה למערכות רגישות. אמצעים אלה מצמצמים את ההשפעה ומסכלים את מטרותיהם של תוקפים, אם יצליחו להשתלט על אחד מהחשבונות שלנו.
3. צמצום זמן החשיפה
ניטור אבטחה
אנחנו מנטרים באופן שוטף את השירותים הפנימיים ואת התשתיות שלנו כדי לזהות כל פעילות חריגה או בלתי מורשית. צוות האבטחה הכונן שלנו, הזמין 24/7, מבצע ניטור בזמן אמת וממיין התראות אבטחה.
בניה מחדש אוטומטית
רבות מהמערכות שלנו מושמדות ונבנות מחדש באופן אוטומטי כמה פעמים בשבוע, ולעיתים אפילו מדי יום. כך אנחנו מצמצמים את משך הזמן הפוטנציאלי שבו תוקף יכול להסתתר בתוך המערכות שלנו.
4. אימות בקרות האבטחה
אימות פנימי: מבדקי חדירה
אנחנו מבצעים מבדקי חדירה באופן קבוע כדי להעריך את המערכות והתוכנה שלנו ולאתר פרצות אבטחה ונקודות חולשה. לבודקים שלנו יש גישה מלאה לקוד המקור, והם משלבים בין בדיקות אוטומטיות לבדיקות ידניות כדי להבטיח הערכה מקיפה ויסודית של השירותים והמוצרים שלנו.
אימות חיצוני: ביקורות אבטחה של צד שלישי
אנחנו נעזרים במבקרים עצמאיים כדי לבחון את האבטחה של השירותים והתוכנה שלנו. הביקורות האלה מספקות אישור לכך שהבקרות הפנימיות שלנו אכן מסייעות לצמצם פרצות אבטחה, ובמקביל נותנות ללקוחות תיעוד שמחזק את הדיוק של טענות האבטחה שאנחנו מציגים לגבי המוצרים שלנו.
חדשנות
בזמן שאנחנו פועלים לעמוד בתקני האבטחה של התעשייה ואף לעלות עליהם, אנחנו ממשיכים כל הזמן לחפש דרכים חדשות להגן על המוצרים שלנו ועל פרטיות המשתמשים שלנו. כאן אנחנו מציגים שתי טכנולוגיות פורצות דרך שפיתחה ExpressVPN.
Lightway: הפרוטוקול שלנו מאפשר חוויית VPN משופרת
Lightway הוא פרוטוקול VPN שפיתחה ExpressVPN. פרוטוקול VPN הוא הדרך שבה מכשיר מתחבר לשרת VPN. רוב הספקים משתמשים באותם פרוטוקולים מוכנים מראש, אבל אנחנו רצינו ליצור פרוטוקול עם ביצועים טובים יותר, כך שחוויית ה-VPN של המשתמשים תהיה לא רק מהירה ואמינה יותר, אלא גם מאובטחת יותר.
- Lightway מבוסס על wolfSSL, ספריית הצפנה ותיקה ומוכרת, שנבדקה לעומק על ידי צדדים שלישיים, כולל תקן FIPS 140-2.
- Lightway גם שומר על סודיות מושלמת קדימה, באמצעות מפתחות הצפנה דינמיים שנמחקים ונוצרים מחדש באופן קבוע.
- ספריית הליבה של Lightway זמינה כקוד פתוח, nכך שכל אחד יכול לבחון את האבטחה שלו.
- Lightway כולל הגנה פוסט-קוונטית, שמגנה על המשתמשים מפני תוקפים שיש להם גישה גם למחשבים קלאסיים וגם למחשבים קוונטיים. ExpressVPN הוא אחד מספקי ה-VPN הראשונים שהטמיעו הגנה פוסט-קוונטית, וכך עוזר למשתמשים להישאר מוגנים גם מול ההתקדמות במחשוב הקוונטי.
- כדי לספק מהירויות גבוהות עוד יותר, יצרנו את Lightway Turbo, שמשתמש ב-multi-lane tunneling כדי להעביר יותר נתונים בו-זמנית (כרגע זמין באפליקציה שלנו לווינדוס, ופלטפורמות נוספות יתווספו בהמשך.)
למדו עוד על Lightway ו קראו את בלוג המפתחים שלנו כדי לקבל תובנות טכניות ממפתחי התוכנה של ExpressVPN על אופן הפעולה של Lightway ועל מה שהופך אותו לטוב יותר מהאחרים.
TrustedServer: כל הנתונים נמחקים בכל הפעלה מחדש
TrustedServer היא טכנולוגיית שרתי ה-VPN שפיתחנו, שמעניקה למשתמשים שלנו רמת אבטחה גבוהה יותר.
- היא פועלת רק על זיכרון RAM נדיף. מערכת ההפעלה והאפליקציות לעולם לא כותבות לכוננים קשיחים ששומרים את הנתונים עד שמוחקים אותם או כותבים עליהם מחדש. משום ש-RAM זקוק לחשמל כדי לאחסן נתונים, כל המידע שעל השרת נמחק בכל פעם שהוא נכבה ונדלק מחדש - וכך גם הנתונים וגם פולשים פוטנציאליים לא נשארים על המערכת.
- היא גם משפרת את האחידות. עם TrustedServer, כל אחד מהשרתים של ExpressVPN מריץ את הגרסה המעודכנת ביותר של התוכנה, במקום שכל שרת יתעדכן בזמן אחר לפי הצורך. זה אומר ש-ExpressVPN יודע בדיוק מה רץ על כל שרת, מה שמצמצם את הסיכון לפרצות או לשגיאות תצורה ומשפר משמעותית את אבטחת ה-VPN.
- טכנולוגיית TrustedServer נבדקה על ידי PwC.
רוצים להבין לעומק יותר איך TrustedServer מגנה על המשתמשים? קראו את הסקירה המעמיקה שלנו על הטכנולוגיה, שנכתבה על ידי המהנדס שתכנן את המערכת.
ExpressKeys: מנהל סיסמאות ייעודי עם ארכיטקטורת אפס-ידע
הוא מנהל סיסמאות עצמאי שמאבטח את פרטי ההתחברות שלכם בנפרד מחיבור ה-VPN. בעבר הוא היה נקרא ExpressKeys, וכיום הוא אפליקציה ייעודית ל-iOS ולאנדרואיד, שנועדה לספק סביבה ממוקדת ליצירה, לאחסון ולהגנה על פרטי התחברות.
בדיוק כמו ה-VPN שלנו, גם ExpressKeys מאובטח כבר משלב התכנון. הוא משתמש בהצפנת אפס-ידע, כלומר הסיסמאות שלכם מוצפנות במכשיר עוד לפני שהן מגיעות לשרתים שלנו. אין לנו שום יכולת טכנית לפענח או לראות את המידע שאתם מאחסנים; רק לכם יש את המפתחות לכספת שלכם.
ExpressKeys כולל מאמת דו-שלבי (MFA) מובנה, ניטור יזום של פרצות אבטחה וסנכרון חלק בין מכשירים ניידים לתוספי דפדפן. הוא כלול ללא עלות נוספת בכל המנויים מסוג Pro, Advanced ומנויים ותיקים.
כתובת ה-IP הייעודית של ExpressVPN: כתובת IP קבועה עם פרטיות גבוהה
שירות כתובת ה-IP הייעודית של ExpressVPN מקצה כתובת IP קבועה למשתמש אחד בלבד, וכך מספק זהות קבועה ברשת בלי לפגוע בפרטיות.
בדרך כלל, ב-VPN מספר משתמשים חולקים את אותה כתובת IP, וזה חלק מרכזי באופן שבו VPN שומר על אנונימיות. כשמדובר בכתובת IP ייעודית שמוקצית למשתמש אחד, צריך לנקוט אמצעים מיוחדים כדי לשמור על האנונימיות.
בעוד שפתרונות קיימים עלולים לכלול חולשות אבטחה ופרטיות שעשויות לחשוף את כתובת ה-IP האמיתית של המשתמשים, אנחנו נקטנו אמצעי זהירות נוספים כדי לשמור על האנונימיות של המשתמשים שלנו. אנחנו משתמשים במערכת המבוססת על blind tokens כדי לנתק בין פרטי התשלום לבין כתובת ה-IP שאנחנו מקצים למשתמש. כך שלעולם לא נוכל לשייך כתובת IP ייעודית למשתמש מסוים.
משילות תפעולית (ISO)
אמון דורש תשתית ארגונית חזקה ומסודרת. בשנת 2025, ExpressVPN וקבוצת Kape השיגו שורה של הסמכות בינלאומיות מוכרות, כדי לוודא שאבטחה ופרטיות משולבות בפעילות היומיומית שלנו - מאופן ניהול הסיכונים ועד הדרך שבה אנחנו תומכים במשתמשים שלנו.
- ISO/IEC 27001 (ניהול אבטחת מידע): מאשר את הגישה השיטתית שלנו לניהול סיכוני אבטחת מידע, בהיבט האנושי ובהיבט הטכנולוגי.
- ISO 9001 (בקרת איכות): מבטיח רמה גבוהה ועקבית של שירות, לצד שיפור מתמיד באופן שבו אנחנו עובדים.
- ISO 18295-1 ו-ISO 18295-2 (מוקדי קשר עם לקוחות): מאשרים שצוותי התמיכה שלנו פועלים תחת פיקוח קפדני ובקרות שמעמידות את הלקוח במרכז.
ראו איך אנחנו ממשיכים להוביל עם מפת הדרכים שלנו לאבטחה לשנת 2026.
ביקורות אבטחה עצמאיות
אנחנו מחויבים להזמין ביקורות עומק של צדדים שלישיים על המוצרים שלנו באופן קבוע. הנה רשימה מלאה של הביקורות החיצוניות שלנו, לפי סדר כרונולוגי:
- ביקורת אבטחה של Cure53 על ExpressAI (2026)
- הביקורת השלישית של KPMG על מחויבויות הפרטיות שלנו (יוני 2025)
- ביקורת האבטחה השנייה של Cure53 על נתבי Aircove שלנו (נובמבר 2024)
- הביקורת הרביעית של Cure53 על פרוטוקול ה-VPN שלנו, Lightway (אוקטובר 2024)
- הביקורת השלישית של Praetorian על פרוטוקול ה-VPN שלנו, Lightway (ספטמבר 2024)
- ביקורת שנייה של Cure53 על תוסף הדפדפן של ExpressVPN (יוני 2024)
- ביקורת על אפליקציית ווינדוס לצורך אימות התיקון של בעיית DNS הקשורה למנהור מפוצל (אפריל 2024)
- ביקורת של KPMG לבחינת הטענות שלנו במדיניות הפרטיות (דצמבר 2023)
- הביקורת השנייה של Cure53 על פרוטוקול ה-VPN שלנו, Lightway (נובמבר 2022)
- ביקורת של Cure53 על תוסף הדפדפן של ExpressKeys (אוקטובר 2022)
- ביקורת של Cure53 על תוסף הדפדפן של ExpressVPN (אוקטובר 2022)
- ביקורת של KPMG על מדיניות ללא יומני רישום שלנו (ספטמבר 2022)
- ביקורת אבטחה של Cure53 על האפליקציה שלנו ל-iOS (ספטמבר 2022)
- ביקורת אבטחה של Cure53 על האפליקציה שלנו לאנדרואיד (אוגוסט 2022)
- ביקורת של Cure53 על אפליקציית לינוקס שלנו (אוגוסט 2022)
- ביקורת של Cure53 על אפליקציית macOS שלנו (יולי 2022)
- ביקורת אבטחה של Cure53 על נתב Aircove שלנו (יולי 2022)
- ביקורת אבטחה של Cure53 על TrustedServer, טכנולוגיית שרתי ה-VPN הפנימית שלנו (מאי 2022)
- ביקורת של F-Secure על אפליקציית Windows v12 שלנו (אפריל 2022)
- ביקורת אבטחה של F-Secure על אפליקציית Windows v10 שלנו (מרץ 2022)
- ביקורת אבטחה של Cure53 על פרוטוקול ה-VPN שלנו, Lightway (אוגוסט 2021)
- ביקורת של PwC Switzerland על תהליך אימות הגרסה שלנו (יוני 2020)
- ביקורת של PwC Switzerland על העמידה שלנו במדיניות הפרטיות ועל טכנולוגיית TrustedServer הפנימית שלנו (יוני 2019)
- ביקורת אבטחה של Cure53 על תוסף הדפדפן שלנו (נובמבר 2018)
דוח שקיפות
דוחות השקיפות הדו-שנתיים שלנו כוללים מידע על בקשות לנתוני משתמשים שהתקבלו במחלקה המשפטית שלנו.
אף שאנחנו מקבלים בקשות כאלה באופן קבוע, מדיניות ללא יומני רישום שלנו מבטיחה שלעולם לא יהיה לנו מה לשתף. אנחנו לא שומרים, וגם לעולם לא נשמור, יומנים של הפעילות שלכם ברשת או מידע אישי שלכם, כולל היסטוריית הגלישה, יעד התעבורה או המטא-דאטה, שאילתות DNS, או כל כתובת IP שמוקצית לכם כשאתם מתחברים ל-VPN שלנו.
לכן אנחנו גם לא יכולים למסור את נתוני הלקוחות האלה, פשוט כי הם לא קיימים. באמצעות פרסום המידע הנוסף הזה על הבקשות שאנחנו מקבלים, המטרה שלנו היא לספק שקיפות רחבה עוד יותר לגבי הדרך שבה אנחנו מגנים על המשתמשים שלנו.
בקשות למידע משתמשים
טווח תאריכים: יולי – דצמבר 2025
| סוג | בקשות שהתקבלו |
| בקשות ממשלתיות, בקשות מרשויות אכיפה ובקשות אזרחיות | 155 |
| בקשות DMCA | 1,382,986 |
| צווים מטעם גוף ממשלתי | 3 |
טווח תאריכים: ינואר – יוני 2025
| סוג | בקשות שהתקבלו |
| בקשות ממשלתיות, בקשות מרשויות אכיפה ובקשות אזרחיות | 374 |
| בקשות DMCA | 1,063,598 |
| צווים מטעם גוף ממשלתי | 0 |
יולי–דצמבר 2024
| סוג | בקשות שהתקבלו |
| בקשות ממשלתיות, בקשות מרשויות אכיפה ובקשות אזרחיות | 163 |
| בקשות DMCA | 807,788 |
| צווים מטעם גוף ממשלתי | 1 |
| צו איסור פרסום | 0 |
| מכתבי ביטחון לאומי | 0 |
טווח תאריכים: ינואר–יוני 2024
| סוג | בקשות שהתקבלו |
| בקשות ממשלתיות, בקשות מרשויות אכיפה ובקשות אזרחיות | 170 |
| בקשות DMCA | 259,561 |
| צווים מטעם גוף ממשלתי | 2 |
| צו איסור פרסום | 0 |
| מכתבי ביטחון לאומי | 0 |
ציד באגים
באמצעות תוכנית ציד הבאגים שלנו, אנחנו מזמינים חוקרי אבטחה לבדוק את המערכות שלנו ולקבל תגמול כספי על כל בעיה שהם מוצאים. התוכנית הזו מאפשרת לנו גישה למספר גדול של בודקים, שבודקים באופן קבוע את התשתיות והאפליקציות שלנו כדי לאתר בעיות אבטחה. לאחר מכן הממצאים האלה נבדקים ומטופלים, כדי לוודא שהמוצרים שלנו מאובטחים ככל האפשר.
היקף התוכנית שלנו כולל פרצות בשרתי ה-VPN שלנו, באפליקציות, בתוספי הדפדפן, באתר ועוד. למי שמדווחים על באגים אנחנו מספקים מקום בטוח, בהתאם לנוהל המקובל בעולם מחקר האבטחה.
תוכנית ציד הבאגים שלנו מנוהלת על ידי YesWeHack. אפשר להיכנס לקישור הזה כדי לקרוא עוד או לדווח על באג.
מנהיגות בתעשייה
למרות שאנחנו מציבים לעצמנו סטנדרטים גבוהים, אנחנו גם מאמינים שהמאמץ שלנו לבנות אינטרנט פרטי ובטוח יותר לא יכול לעצור שם - ולכן אנחנו עובדים יחד עם כל תעשיית ה-VPN כדי להעלות את הרף ולהגן טוב יותר על המשתמשים.
ייסדנו, ואנחנו גם מובילים את VPN Trust Initiative (VTI) בשיתוף עםInternet Infrastructure Coalition (i2Coalition) ועוד כמה שחקנים מרכזיים בתעשייה. מעבר לפעילות השוטפת של היוזמה בתחום ההסברה וקידום המדיניות, הקבוצה גם השיקה את עקרונות VTI - קווים מנחים משותפים לספקי VPN אחראיים בתחומי האבטחה, הפרטיות, השקיפות ועוד. זה ממשיך את עבודת השקיפות הקודמת של ExpressVPN, שנעשתה בשיתוף עם Center for Democracy and Technology.
חלק מהחידושים שהובלנו סייעו לקדם את תעשיית ה-VPN כולה. היינו הראשונים לפתח את TrustedServer, ומאז אחרים הלכו בעקבותינו והשיקו טכנולוגיה דומה. Lightway הוא דוגמה נוספת לטכנולוגיה שבנינו מאפס, ואנחנו מקווים שדרך הפיכתו לקוד פתוח, תהיה לו השפעה על תעשיית ה-VPN כולה.
יוזמות פרטיות בולטות
גלו עוד על הדרך שבה אנחנו מגנים על פרטיות המשתמשים שלנו.
-
![A shield button toggled on.]()
מאומת ioXt
ExpressVPN הפכה לאחת מאפליקציות ה-VPN הבודדות שהוסמכו על ידי ioXt Alliance לתקני אבטחה, מה שנותן לצרכנים יותר ביטחון להשתמש בשירותים שלנו.
-
![Bar graph with different heights.]()
הגנה מתקדמת
האפליקציה שלנו כוללת הגנה מתקדמת, חבילה של כלי הגנה שחוסמים פרסומות, עוקבים ואתרים מזיקים, וגם תומכים בבקרות תוכן ידידותיות למשפחה.
-
![Two line graphs.]()
מעבדת אבטחה דיגיטלית
השקנו מעבדת אבטחה דיגיטלית כדי להעמיק בסוגיות פרטיות מהעולם האמיתי. אפשר לעיין בכלי בדיקת הדליפות שלה, שעוזרים לבדוק ולאמת את רמת האבטחה של ה-VPN שלכם.
