Er Mullvad Sikkert? Analyse af Sikkerhed, Privatliv & Revisioner

Er Mullvad Sikkert? En Direkte Vurdering

Mullvad scorer 86/100 på vores tillidsindeks. Tjenesten opererer under svensk jurisdiktion, opkræver en fast pris på €5/måned uden konti og håndhæver en verificeret no-logs-politik. Uafhængige revisioner fra Cure53 og Assured AB bekræftede minimale sårbarheder. Mullvad gemmer nul forbindelseslogs, trafikdata eller personhenførbare oplysninger på sine 700+ servere i 50+ lande.

Svensk Jurisdiktion og Juridiske Dataanmodninger

Sverige er del af 14 Eyes-efterretningsdeling-alliancen. Det lyder foruroligende ved første øjekast. I praksis fortæller den juridiske ramme en mere nuanceret historie for VPN-udbydere.

Svensk lovgivning kræver ikke, at VPN-virksomheder gemmer brugerdata. Mullvad har ingen obligatorisk dataopbevaringspligt ifølge gældende svenske telekommunikationsregler. Det betyder, at myndigheder kan udstede anmodninger, men Mullvad har intet gemt at udlevere.

I april 2023 trådte svensk politi fysisk ind på Mullvads kontor i Göteborg med en ransagningskendelse. Betjentene havde til hensigt at beslaglægge computere med kundedata. Mullvads medarbejdere forklarede, at der ikke fandtes kundedata på nogen maskiner, og politiet forlod stedet med tomme hænder. Denne virkelighedstest viste, at no-logs-politikken holder under juridisk pres.

Historik for Uafhængige Revisioner

Mullvad har gennemført adskillige tredjeparts sikkerhedsrevisioner. Hver revision undersøgte forskellige dele af infrastrukturen og klientapplikationerne.

Cure53-revision (2020)

Cure53, et Berlin-baseret penetrationstestfirma, reviderede Mullvad VPN-apperne i 2020. Teamet identificerede i alt 7 sårbarheder: 2 vurderet som medium alvorlighed og 5 vurderet som lav alvorlighed. Mullvad patchede alle 7 problemer, inden den fulde revisionsrapport blev offentliggjort på deres hjemmeside.

Assured AB-revision (2023)

Assured AB gennemførte en infrastrukturrevision af Mullvads servere og interne systemer i 2023. Vurderingen dækkede serverkonfigurationer, krypteringsimplementering og datahåndteringsprocedurer. Resultaterne bekræftede, at Mullvads infrastruktur matchede deres offentlige no-logs-påstande. Der blev ikke fundet kritiske sårbarheder under dette arbejde.

Cure53 App-revision (2023)

Cure53 vendte tilbage til en anden runde i 2023 med fokus på opdateret appkode. Denne opfølgning fandt færre problemer end 2020-revisionen. Mullvad adresserede alle fund og offentliggjorde igen den komplette rapport til offentlig gennemgang.

Det er ualmindeligt i VPN-branchen at offentliggøre fulde revisionsrapporter. Mullvad redigerer ikke i fundene eller udvælger kun favorable resultater. Denne transparens tilføjer betydelig vægt til tjenestens sikkerhedspåstande.

Logningspolitik: Hvad Mullvad Gemmer og Ikke Gemmer

Data Mullvad Ikke Indsamler

Mullvad logger ikke trafikdata, forbindelsestidsstempler, sessionsvarigheder eller IP-adresser. Det gemmer ingen DNS-forespørgsler, båndbreddeforbrugsposter eller VPN-servertildelinger. Kontoaktivitet forbliver fuldstændig usammenknyttet med browsingadfærd eller forbindelsesmetadata.

Data Mullvad Behandler

Mullvad behandler det samlede antal samtidige forbindelser pr. konto (begrænset til 5). Denne tæller eksisterer i realtid og skrives ikke til nogen vedvarende lagring. I det øjeblik du afbryder forbindelsen, reduceres tælleren. Ingen historisk post bevares.

Mullvad behandler også kortsigtede aggregerede serverbelastningsdata til optimering af ydeevne. Disse data indeholder nul brugeridentificerbare oplysninger og roterer automatisk.

Kontosystemet

Mullvad genererer et tilfældigt 16-cifret kontonummer. Ingen e-mail, intet navn, ingen adgangskode kræves. Du kan betale med kontanter sendt i en kuvert, Bitcoin eller Monero. Dette design eliminerer personhenførbare oplysninger fra tilmeldingsprocessen fuldstændigt.

Krypteringsstandarder og Protokoller

Mullvad understøtter to protokoller: WireGuard og OpenVPN. Begge implementeringer anvender stærke, velgennemgåede kryptografiske standarder.

WireGuard-implementering

WireGuard bruger ChaCha20 til symmetrisk kryptering, Curve25519 til nøgleudveksling og BLAKE2s til hashing. Mullvad anvender som standard WireGuard på alle platforme. Forbindelseshandshakes gennemføres på under 100 millisekunder på de fleste netværk.

OpenVPN-implementering

OpenVPN-forbindelser bruger AES-256-GCM til datakanaalkryptering. Nøgleudveksling baseres på RSA-4096-certifikater med SHA-512-godkendelse. Mullvad konfigurerer OpenVPN med tls-auth for at forhindre fingeraftrykning og DDoS-angreb på VPN-tunnelen.

Kvanteresistente Tunneler

Mullvad tilføjede post-kvante nøgleudveksling til WireGuard-tunneler i 2023. Denne funktion lægger Classic McEliece og Kyber nøgleindkapsling oven på standard WireGuard-kryptografi. Mullvad var den første kommercielle VPN til at levere denne funktion på tværs af desktop-platforme.

Kill Switch og DNS-lækbeskyttelse

Kill Switch-adfærd

Mullvads kill switch aktiveres som standard på alle platforme. Det blokerer al internettrafik, når VPN-tunnelen uventet afbrydes. Implementeringen opererer på firewallniveau, ikke applikationsniveau. Dette forhindrer lækager, selv hvis Mullvad-appen crasher fuldstændigt.

På Linux bruger Mullvad nftables-regler til at håndhæve trafikblokering. På Windows modificerer den Windows Filtering Platform. På macOS bruger den packet filter-regler. Hver implementering forhindrer både IPv4- og IPv6-lækager samtidigt.

DNS-lækbeskyttelse

Mullvad dirigerer alle DNS-forespørgsler gennem sine egne krypterede DNS-servere. Appen blokerer system-DNS-anmodninger, der forsøger at omgå tunnelen. Mullvad driver DNS-servere på alle VPN-serverplaceringer og løser forespørgsler lokalt uden videresendelse til tredjeparter.

Brugere kan også konfigurere tilpasset DNS i appen. Selv med tilpasset DNS rejser forespørgsler stadig inde i den krypterede tunnel. Uafhængige læktest viser konsekvent nul DNS-, WebRTC- eller IPv6-lækager på tværs af alle Mullvad-klienter.

Tidligere Sikkerhedshændelser

Politirazzia (april 2023)

Seks betjente fra det svenske nationale politi trådte ind på Mullvads kontor i Göteborg. De medbragte en ransagningskendelse fra en distriktsdomstol med henblik på at indhente kundeoplysninger. Mullvads administrerende direktør forklarede, at virksomheden ikke gemmer kundedata. Politiet beslaglagde intet udstyr og forlod stedet, efter at Mullvads juridiske team udfordrede kendelsens anvendelighed.

Ingen Kendte Databrud

Pr. den seneste revisionscyklus har Mullvad rapporteret nul databrud. Ingen brugerdata er dukket op i lækkede databaser. Ingen credential stuffing-angreb finder anvendelse, da Mullvad ikke bruger adgangskoder eller e-mailadresser. Det 16-cifrede kontonummersystem reducerer angrebsfladen betydeligt.

Sårbarhedsafsløringer

Mullvad opretholder en aktiv bug bounty-tilgang og offentliggør sikkerhedsmeddelelser på sin blog. Alle sårbarheder fundet under revisioner modtog patches inden for uger efter opdagelsen. Virksomheden har ikke oplevet nogen zero-day-udnyttelse af sin produktionsinfrastruktur.

Unikke Sikkerhedsfunktioner

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad udviklede DAITA til at modvirke trafikanalyseangreb. Denne funktion padding-udfylder pakker til ensartede størrelser og injicerer falske trafikmønstre. Det forhindrer modstandere i at identificere, hvilke hjemmesider brugere besøger baseret på trafikfingeraftryk.

Krypteret DNS Over HTTPS (DoH)

Mullvad tilbyder en offentlig DoH-tjeneste på dns.mullvad.net. Brugere kan kryptere DNS-forespørgsler, selv uden at VPN’en kører. Tjenesten inkluderer valgfri reklameblokering og trackerblokeringsprofiler til DNS.

Diskløse RAM-Only-servere

Mullvad driver hele sin serverflåde i RAM-only-tilstand. Der findes ingen harddiske i serverne. Hvert genstart sletter alle data fuldstændigt. Denne arkitektur sikrer, at fysiske serverbeslaglæggelser ikke giver nogen brugbar information.

Multihop-routing

Brugere kan dirigere trafik gennem 2 separate VPN-servere i forskellige lande. Dette tilføjer et andet krypteringslag og adskiller indgangspunktet fra udgangspunktet. Multihop kan konfigureres direkte i appen uden manuel opsætning.

Ofte Stillede Spørgsmål

Gemmer Mullvad Logs?

Mullvad gemmer nul vedvarende logs. Ingen trafiklog, forbindelsestidsstempler, IP-adresser eller sessionsdata berører disklagring. To uafhængige revisioner verificerede dette krav. RAM-only-serverinfrastrukturen sikrer, at selv midlertidige data forsvinder ved genstart. Mullvads politirazzia i 2023 bekræftede, at der ikke eksisterede brugerdata at beslaglægge.

Er Mullvad Blevet Hacket?

Mullvad er ikke blevet hacket. Ingen databrud eller uautoriserede adgangshændelser er blevet offentligt rapporteret eller opdaget under revisioner. Det adgangskodefrie kontosystem og RAM-only-serverne reducerer angrebsfladen under typiske VPN-udbydere. Cure53 fandt ingen kritiske sårbarheder under hverken 2020- eller 2023-revisionerne.

Er Mullvad Troværdig?

Mullvad demonstrerer troværdighed gennem gentagne uafhængige revisioner, fuld rapporttransparens og en virkelighedstest. Virksomheden offentliggør sin kildekode åbent på GitHub. Den accepterer anonyme kontantbetalinger. Den overlevede en politiransagning uden at udlevere nogen data. Disse verificerede handlinger vejer mere end markedsføringspåstande.

Kan Mullvad Se Mine Data?

Mullvad kan ikke se dine browsingdata. Trafik inde i VPN-tunnelen bruger AES-256 eller ChaCha20-kryptering. Mullvads servere behandler krypterede pakker, men inspicerer, registrerer eller gemmer ikke indhold. RAM-only-arkitekturen forhindrer midlertidige behandlingsdata i at bevares ud over den aktive session.

Bundlinjen om Mullvads Sikkerhed

Mullvad fortjener sin tillidsscore på 86/100 gennem arkitektur, ikke løfter. RAM-only-servere, kontoanonymitet, offentliggjorte revisionsrapporter og et verificeret udfald af en politirazzia adskiller det fra mængden. Den faste pris på €5/måned uden prøveperioder eller rabatter afspejler en virksomhed med fokus på service frem for abonnentvolumen. For brugere, der prioriterer privatlivsverifikation over antal funktioner, er Mullvad fortsat en af de stærkeste muligheder på tværs af sine 700+ servere i 50+ lande.