vpn

هل ExpressVPN آمن؟ تحليل الأمان والخصوصية والتدقيق

هل ExpressVPN آمن؟ نتائج التدقيق المستقل، بروتوكولات التشفير، تحليل الولاية القضائية، اختبار مفتاح الإيقاف، والتحقق من سياسة عدم الاحتفاظ بالسجلات.

VPN.com Editorial Team · ·9 دقائق للقراءة

هل ExpressVPN آمن؟ تعمق شامل في الأمان

يحصل ExpressVPN على درجة ثقة 85/100 بناءً على عمليات تدقيق موثقة لعدم الاحتفاظ بالسجلات، وتشفير AES-256، وخوادم تعمل على الذاكرة العشوائية (RAM) فقط في 105 دول. يعمل تحت الولاية القضائية لجزر فيرجن البريطانية، خارج تحالفات مراقبة الـ 14 عيناً. أكدت عمليات تدقيق مستقلة متعددة أجرتها KPMG وCure53 أن ادعاءات عدم الاحتفاظ بالسجلات صامدة أمام التدقيق.

الولاية القضائية: لماذا تهم جزر فيرجن البريطانية

تأسست شركة ExpressVPN في جزر فيرجن البريطانية، وهي إقليم بريطاني ما وراء البحار يتمتع بحكم ذاتي. لا تفرض جزر فيرجن البريطانية أي قوانين تخزين إلزامي للبيانات على مزودي خدمات VPN. هذه الحقيقة وحدها تشكّل طريقة استجابة ExpressVPN لطلبات الحكومات للحصول على البيانات.

تقع جزر فيرجن البريطانية خارج تحالفات تبادل المعلومات الاستخباراتية الخاصة بـ 5 عيون و9 عيون و14 عيناً. يجب أن تمر طلبات الحكومات الأجنبية عبر المحكمة العليا في جزر فيرجن البريطانية قبل أن تصل إلى ExpressVPN. ولا تلتزم جزر فيرجن البريطانية قانونياً بتنفيذ أوامر الاستدعاء الأجنبية أو أوامر المراقبة بصورة مباشرة.

أثبتت هذه الميزة في الولاية القضائية فاعليتها الحقيقية عام 2017، حين صادرت السلطات التركية خادماً من خوادم ExpressVPN خلال تحقيق سياسي. احتوى الخادم على صفر بيانات للمستخدمين، مما أكد نجاعة سياسة عدم الاحتفاظ بالسجلات تحت ضغط حكومي فعلي.

سجل عمليات التدقيق المستقلة

أجرى ExpressVPN عدداً من عمليات تدقيق الأمان من طرف ثالث يفوق معظم المنافسين. فحصت كل عملية تدقيق جوانب مختلفة من ادعاءات الخصوصية والأمان للخدمة.

عمليات تدقيق عدم الاحتفاظ بالسجلات من KPMG

دققت KPMG في سياسة عدم الاحتفاظ بالسجلات الخاصة بـ ExpressVPN عامَي 2022 و2024. أكد كلا التدقيقين أن تقنية TrustedServer الخاصة بـ ExpressVPN لا تخزن أي سجلات نشاط أو سجلات اتصال أو عناوين IP. اختبرت KPMG خوادم الإنتاج والأنظمة الداخلية للتحقق من هذه الادعاءات بصورة مستقلة.

عمليات تدقيق Cure53 الأمنية

دققت Cure53، وهي شركة ألمانية مرموقة للأمن السيبراني، في ExpressVPN مرات عديدة. في عام 2019، فحصت Cure53 إضافات المتصفح ولم تعثر على أي ثغرات حرجة. دققت في بروتوكول Lightway عام 2021 وأكدت سلامة تنفيذه التشفيري. وراجعت عملية تدقيق 2022 البنية التحتية لـ TrustedServer وصنّفتها بمرتبة قوية.

تدقيق PwC

أجرت PricewaterhouseCoopers عملية تدقيق مبكرة لعدم الاحتفاظ بالسجلات عام 2019. تحققت PwC من أن تكوين خادم ExpressVPN يتوافق مع سياسة الخصوصية المعلنة. وقد مثّل ذلك أحد أوائل عمليات التدقيق الكبرى التي كلّف بها ExpressVPN.

ينشر ExpressVPN ملخصات لجميع نتائج التدقيق على موقعه الإلكتروني. تتوفر تقارير Cure53 الكاملة للعموم، مما يعكس شفافية أعلى من المتوسط في صناعة VPN.

سياسة الاحتفاظ بالسجلات: ما يُخزَّن وما لا يُخزَّن

توضح سياسة خصوصية ExpressVPN بجلاء البيانات التي يجمعها. فهم التفاصيل أهم من مجرد ادعاءات التسويق.

البيانات التي لا يخزنها ExpressVPN

لا يسجّل ExpressVPN سجل تصفحك، ووجهات المرور، أو استعلامات DNS، أو عنوان IP الخاص بك. كما لا يسجّل طوابع الوقت للاتصال، أو مدة الجلسة، أو عناوين IP الخاصة بـ VPN المُخصصة. ولا يمر أي محتوى من اتصالاتك عبر أي نظام تسجيل.

البيانات التي يجمعها ExpressVPN

يجمع ExpressVPN بيانات اتصال إجمالية: إصدار التطبيق الذي تستخدمه، والموقع الجغرافي للخادم الذي اخترته (لا الخادم المحدد)، وإجمالي النطاق الترددي المستهلك يومياً. لا يمكن لهذه البيانات تحديد هوية المستخدمين الأفراد أو ربط النشاط بحسابات محددة. يستخدم ExpressVPN هذه المعلومات للحفاظ على سعة الخادم عبر شبكته التي تضم أكثر من 3000 خادم.

تُخزَّن بيانات حساب البريد الإلكتروني ومعلومات الدفع وسجل تذاكر الدعم لأغراض الفوترة. يمكن للمستخدمين الراغبين في الحفاظ على أقصى درجات الخصوصية الدفع بالبيتكوين أو استخدام عنوان بريد إلكتروني مؤقت.

معايير التشفير والبروتوكولات

يستخدم ExpressVPN تشفير AES-256-GCM كمعيار افتراضي. وهو نفس مستوى التشفير الذي تستخدمه الحكومة الأمريكية للمعلومات السرية. كسر AES-256 يتطلب قدرة حوسبية غير موجودة في الوقت الراهن.

البروتوكولات المتاحة

يوفر ExpressVPN 4 بروتوكولات VPN عبر تطبيقاته. Lightway هو البروتوكول الخاص به، المبني على wolfSSL ويستخدم تشفير ChaCha20 أو AES-256. يعمل OpenVPN عبر UDP وTCP مع AES-256-GCM. IKEv2/IPSec متاح على منصات محددة لاتصالات الجوال السريعة.

يستحق Lightway اهتماماً خاصاً. يحتوي قاعدة كوده على نحو 2000 سطر، مقارنة بأكثر من 70000 سطر في OpenVPN. عدد السطور الأقل يعني ثغرات محتملة أقل وأوقات اتصال أسرع تقل عن ثانية واحدة. دقّقت Cure53 في الكود المصدري لـ Lightway، الذي نشره ExpressVPN كمصدر مفتوح على GitHub.

السرية التامة للأمام (Perfect Forward Secrecy)

يتفاوض ExpressVPN على مفتاح تشفير جديد لكل جلسة اتصال. حتى إذا اخترق مهاجم ما مفتاح جلسة واحدة، تبقى الجلسات السابقة والمستقبلية محمية. تمنع هذه الميزة فك التشفير الجماعي بأثر رجعي لحركة المرور الملتقطة.

مفتاح الإيقاف والحماية من تسريب DNS

يُسمي ExpressVPN مفتاح الإيقاف الخاص به “Network Lock”. يُفعَّل افتراضياً على Windows وMac وLinux والأجهزة التوجيه (الراوترات). يحجب Network Lock جميع حركة الإنترنت إذا انقطع اتصال VPN فجأة.

يعمل Network Lock على مستوى جدار الحماية، لا على مستوى التطبيق. يمنع هذا الأسلوب التسريبات خلال نوافذ إعادة الاتصال القصيرة التي كثيراً ما يفشل في التصدي لها مفاتيح الإيقاف على مستوى التطبيق. لا يسمح بمرور حركة المرور إلا عبر نفق VPN وإلى خوادم DNS الخاصة بـ ExpressVPN.

يدير ExpressVPN خوادم DNS خاصة ومشفرة على كل خادم. لا تلمس استعلامات DNS مزودي DNS الخارجيين كـ Google أو Cloudflare. يقضي ذلك على خطر تسريب DNS على مستوى البنية التحتية بدلاً من الاعتماد على تحديثات برمجية.

تُظهر أدوات الاختبار المستقلة باستمرار صفراً من تسريبات DNS، وصفراً من تسريبات WebRTC، وصفراً من تسريبات IPv6 عبر التطبيقات الرئيسية لـ ExpressVPN. تمتد هذه الحماية عبر البرنامج الثابت للأجهزة التوجيه لتشمل كل جهاز على شبكتك.

حوادث أمنية سابقة

لا يوجد منتج أمني بمعزل عن التدقيق. واجه ExpressVPN حادثتين بارزتين تستحقان الدراسة.

مصادرة الخادم التركي (2017)

حقّقت السلطات التركية في اغتيال السفير الروسي أندريه كارلوف، وصادرت خادماً من خوادم ExpressVPN بحثاً عن اتصالات المشتبه بهم. احتوى الخادم على صفر بيانات قابلة للاستخدام، مما أثبت فاعلية البنية التحتية لعدم الاحتفاظ بالسجلات تحت ضغط جهات إنفاذ القانون الفعلي.

استحواذ Kape Technologies (2021)

استحوذت Kape Technologies على ExpressVPN بما يقارب 936 مليون دولار في سبتمبر 2021. كانت Kape تعمل في السابق تحت اسم Crossrider، وهي شركة كانت مرتبطة بتوزيع برامج الإعلانات المزعجة (adware) قبل إعادة العلامة التجارية. أثار هذا الاستحواذ مخاوف مشروعة في أوساط المدافعين عن الخصوصية.

ردّ ExpressVPN بالحفاظ على عملياته المستقلة والولاية القضائية لجزر فيرجن البريطانية. أكدت عمليات تدقيق KPMG بعد الاستحواذ عامَي 2022 و2024 أن سياسة عدم الاحتفاظ بالسجلات لا تزال سليمة. احتفظت الشركة بفريق قيادتها واستمرت في نشر نتائج التدقيق بشفافية. ينبغي للمستخدمين متابعة عمليات التدقيق المستقبلية للتحقق من استمرار الاستقلالية.

ميزات أمنية فريدة

يوفر ExpressVPN عدة ميزات أمنية تميزه عن المنافسين ذوي معايير التشفير المماثلة.

تقنية TrustedServer

تعمل كل خوادم ExpressVPN بالكامل على الذاكرة العشوائية المتطايرة (RAM)، لا على الأقراص الصلبة. تُحمِّل الخوادم صورة للقراءة فقط عند كل إقلاع. تُمحى جميع البيانات بالكامل مع كل إعادة تشغيل للخادم. هذه البنية تجعل تخزين البيانات الدائم مستحيلاً فعلياً على خوادم VPN.

مدير التهديدات (Threat Manager)

يمنع Threat Manager التطبيقات والمواقع الإلكترونية من التواصل مع أجهزة التتبع المعروفة والخوادم الضارة. يعمل على مستوى DNS عبر جميع الأجهزة المتصلة. يحدّث ExpressVPN قوائم الحجب الخاصة به بانتظام بناءً على بيانات استخبارات التهديدات.

Express Keys (مدير كلمات المرور)

يتضمن ExpressVPN مدير كلمات مرور مدمجاً يُسمى Keys مع جميع الاشتراكات. يستخدم Keys تشفير المعرفة الصفرية (zero-knowledge)، مما يعني أن ExpressVPN لا يمكنه الوصول إلى كلمات المرور المخزنة لديك. تضيف هذه الميزة المتكاملة قيمة أمنية عملية تتجاوز نفق VPN ذاته.

حماية ما بعد الكم (Post-Quantum Protection)

طبّق ExpressVPN دعم التشفير ما بعد الكمومي في بروتوكول Lightway. تحمي هذه الميزة ضد هجمات الحوسبة الكمومية المستقبلية التي قد تكسر معايير التشفير الحالية. قلة من مزودي VPN طبّقوا هذه الحماية حتى الآن وفقاً للاختبارات الحالية.

الأسئلة الشائعة

هل يحتفظ ExpressVPN بالسجلات؟

لا يحتفظ ExpressVPN بسجلات النشاط أو سجلات الاتصال أو عناوين IP أو سجل التصفح. يجمع بيانات إجمالية محدودة كإصدار التطبيق واختيار موقع الخادم لصيانة الشبكة. أكدت عمليات تدقيق KPMG وPwC هذه الادعاءات المتعلقة بعدم الاحتفاظ بالسجلات بصورة مستقلة عبر سنوات متعددة.

هل تعرض ExpressVPN للاختراق؟

لم يتعرض ExpressVPN لأي اختراق مؤكد للبيانات يؤثر على معلومات المستخدمين. أثبتت مصادرة الخادم التركي عام 2017 فاعلية نظام عدم الاحتفاظ بالسجلات، إذ لم تحصل السلطات على أي بيانات للمستخدمين. تحدّ بنية TrustedServer القائمة على RAM فقط من تأثير أي اختراق محتمل للخادم المادي.

هل يمكن الوثوق بـ ExpressVPN؟

يُثبت ExpressVPN جدارته بالثقة من خلال أكثر من 5 عمليات تدقيق مستقلة، وكود البروتوكول مفتوح المصدر، وحادثة موثقة لعدم الاحتفاظ بالسجلات. تثير ملكية Kape Technologies تساؤلات مشروعة ينبغي للمستخدمين تقييمها بأنفسهم. يتيح ضمان استرداد الأموال لمدة 30 يوماً اختبار الخدمة بأدنى مخاطر مالية.

هل يمكن لـ ExpressVPN رؤية بياناتي؟

لا يستطيع ExpressVPN رؤية بيانات تصفحك بفضل التشفير الكامل AES-256 داخل نفق VPN. تمنع بنية TrustedServer كتابة البيانات على القرص في أي خادم. حتى إذا أُلزم بموجب أمر قضائي، فليس لدى ExpressVPN أي بيانات نشاط مخزنة للمستخدمين لتسليمها.