Lar Pareceres O purevpn cruzou uma linha ao divulgar informações do usuário? | max eddy

O purevpn cruzou uma linha ao divulgar informações do usuário? | max eddy

Índice:

Vídeo: How to use Dedicated IP mode in PureVPN Windows App (Version 7.1.0) (Novembro 2024)

Vídeo: How to use Dedicated IP mode in PureVPN Windows App (Version 7.1.0) (Novembro 2024)
Anonim

"Os logs da VPN ajudaram a desmascarar o suposto 'perseguidor da rede" é uma manchete alarmante, pois o objetivo principal de usar uma rede privada virtual é navegar despercebido.

Mas, como relata o The Register, foi o que aconteceu com um homem chamado Ryan Lin, que foi preso por cyberstalking seu ex-companheiro de quarto em parte porque o provedor de VPN de Lin, PureVPN, ajudou os federais em suas investigações entregando registros. Isso parece ruim, mas nesse caso, pelo menos, o PureVPN parece ter agido dentro de sua política de privacidade declarada. Você ainda pode confiar nas VPNs tanto quanto nunca.

Primeiro, deixe-me esclarecer: o suposto comportamento de Lin é grosseiro. Segundo informações, ele fez um grande esforço para assediar e desmoralizar uma mulher. A parceria da polícia com empresas de tecnologia para prendê-lo é um exemplo do sistema funcionando, e o fato de ele ter sido preso mostra até onde chegamos em relação às atividades on-line como crimes reais. Apenas alguns anos atrás, doxxing alguém não teria sido incluído em uma lista de atividades criminosas vis. Espero que qualquer um que imite suas ações pense melhor como resultado.

Com isso de lado, parece claro que esse homem teria sido preso sem as informações adquiridas da PureVPN. O Registro relata:

"A denúncia revelou que ele cometeu um erro fundamental ao usar um computador de trabalho em algumas de suas campanhas, e mesmo tendo sido encerrado e o sistema operacional reinstalado na máquina, havia pegadas deixadas para os investigadores associarem Lin aos 16". mês de campanha contra Smith."

O relatório não entra em detalhes sobre quais informações foram recuperadas do computador de trabalho de Lin, mas seu envolvimento é significativo. Os pesquisadores de segurança são sempre rápidos em apontar que, se você pode obter o dispositivo do alvo, venceu efetivamente.

Aqui está o que o The Register diz que os pesquisadores receberam do PureVPN:

"'Significativamente, o PureVPN foi capaz de determinar que seu serviço foi acessado pelo mesmo cliente a partir de dois endereços IP de origem', afirmam os federais (supostamente, esses endereços IP estavam no trabalho e nos endereços residenciais de Lin)."

É fácil ler isso e supor que o PureVPN, e talvez todas as empresas de VPN, estejam monitorando as atividades dos usuários e estejam dispostos a entregar logs aos investigadores. Mas não acredito que seja esse o caso. Para mim, isso parece que o PureVPN simplesmente confirmou que seu serviço foi registrado pelo mesmo cliente em dois endereços IP diferentes. Muitas VPNs registram informações sobre as origens dos usuários, geralmente por motivos de roteamento de dados.

O artigo também diz que "os registros do PureVPN mostram que as mesmas contas de email foram acessadas do mesmo endereço IP do WANSecurity". Isso é mais obtuso, mas não parece confirmação de que o PureVPN está monitorando o comportamento do usuário. No máximo, o PureVPN compartilhava o endereço IP de origem, o endereço do qual o homem se conectou e o endereço IP do servidor VPN que o usuário estava usando.

Em sua política de privacidade, o PureVPN diz algumas coisas importantes.

"Portanto, não temos registro de suas atividades, como qual software você usou, quais sites você visitou, qual conteúdo baixou, quais aplicativos utilizou etc. depois de se conectar a qualquer um de nossos servidores. Nossos servidores registram automaticamente o horário em que você se conecta a qualquer um de nossos servidores. A partir de agora, não mantemos registros de nada que possa associar qualquer atividade específica a um usuário específico. O momento em que uma conexão bem-sucedida é feita com nossos servidores é contado como uma 'conexão' e a largura de banda total usada durante esta conexão é chamada de 'largura de banda'. A conexão e a largura de banda são mantidas em registro para manter a qualidade do nosso serviço ".

A política de privacidade do PureVPN deixa duas coisas claras. Primeiro, a empresa coleta endereços de e-mail (faz parte do seu login e do sistema de cobrança da empresa). Não é realmente uma política de "não registro" e não reivindica ser. Ele reúne informações sobre conexões em sua rede, mas não o conteúdo das atividades do usuário. Segundo, a empresa parece ter informações sobre quais de seus servidores são acessados ​​pelos clientes.

A política de privacidade da PureVPN também tem a dizer sobre o assunto de cooperar com as investigações:

"O PureVPN está comprometido com a liberdade e não apóia crimes. Somente compartilharemos informações com autoridades com intimações, mandados, outros documentos legais válidos ou com supostas vítimas com provas claras de tais atividades. Quando e se um tribunal de justiça competente ordena a nós ou uma suposta vítima nos solicita (que autoavaliamos rigorosamente) que divulguemos algumas informações, com evidências adequadas, de que nossos serviços foram usados ​​para qualquer atividade que você concordou em não participar quando concordou com nosso Contrato de Termos de Serviço, somente apresentaremos informações específicas sobre essa atividade específica, desde que tenhamos o registro de tal atividade ".

Em resumo, o PureVPN trabalhará com investigadores que apresentarem um mandado válido. Após avaliar o mandado internamente, o PureVPN decidirá se deve ou não cumprir. Ele também diz que apenas entregará as informações que tem em mãos - não que permita que suas redes sejam usadas para espionar supostos criminosos. É importante ressaltar que o PureVPN é baseado em Hong Kong. Para usuários de VPN, isso é realmente muito bom, porque Hong Kong não possui leis de retenção de dados, liberando o PureVPN para decidir o que armazenar e por quanto tempo.

Não sou especialista em direito, mas parece significativo que uma empresa sediada na China tenha cumprido com os investigadores americanos. Sugere-me que a empresa cooperou com base nos méritos da investigação e não era legalmente obrigada a fazê-lo, mas isso é especulação da minha parte.

Para mim, isso parece muito com metadados. É a data e hora da conexão e, provavelmente, algumas informações sobre os endereços IP de entrada e saída. Não é, de maneira importante, informações sobre para onde os usuários foram de lá. Isso significa que os pesquisadores tiveram que obter essas informações em outro lugar e compará-las com as informações obtidas no PureVPN.

Nada disso deve subestimar a importância dos metadados. A coleta de metadados em massa pela NSA foi ofensiva devido à sua escala e ao fato de pessoas inocentes serem afetadas. Esse não parece ser o caso aqui.

As VPNs são confiáveis?

Não se engane: quando você usa uma VPN, confia neles com acesso sem precedentes às suas informações. É por isso que levo isso muito a sério quando uma empresa de VPN é acusada ou adulterada por dados do usuário à medida que ela passa pelo sistema da empresa. É também por isso que é tão importante ler a política de privacidade de uma empresa. Se você não consegue encontrá-lo ou é tão complicado que fica ilegível, essa empresa pode não valer o seu tempo. Uma política de privacidade são apenas palavras, é claro, mas temos que começar de algum lugar.

Também é muito importante lembrar que nenhuma ferramenta de segurança é uma bala mágica e que um ataque ou investigação direcionada quase sempre será bem-sucedida. As VPNs são melhores para proteger seus dados contra interceptação na rede local e impedir que suas informações sejam varridas nos esforços de vigilância em massa. Se os investigadores já o vêem como suspeito e têm acesso a outras evidências, essas proteções já são discutíveis.

No caso do PureVPN, não parece que a empresa tenha violado a confiança de seus usuários - nem mesmo Lin, que supostamente estava usando o serviço para atos criminosos. Entrarei em contato com a empresa para esclarecimentos (e atualizarei conforme necessário), mas para mim isso parece o melhor cenário. Um criminoso, um indivíduo específico, foi alvo de investigação e uma empresa de tecnologia entregou as informações limitadas que possuía.

Eu não quero parecer puramente defensor do PureVPN. Em vez disso, quero um pouco de calma e compreensão sobre as ferramentas de segurança. A internet não foi construída com privacidade e segurança em mente, o que coloca o ônus dos usuários em se protegerem. Não podemos ter medo dessas ferramentas, e todos devemos aprender o que eles fazem e a melhor maneira de usá-los.

O purevpn cruzou uma linha ao divulgar informações do usuário? | max eddy