vpn

Is Mullvad Veilig? Beveiliging, Privacy & Auditanalyse

Is Mullvad veilig? Onafhankelijke auditresultaten, versleutelingsprotocollen, jurisdictieanalyse, kill switch-tests en verificatie van het no-logsbeleid.

VPN.com Editorial Team · ·9 min leestijd

Is Mullvad Veilig? Een Directe Beoordeling

Mullvad scoort 86/100 op onze vertrouwensindex. Het opereert onder Zweeds recht, rekent een vast tarief van €5/maand zonder accounts, en handhaaft een geverifieerd no-logsbeleid. Onafhankelijke audits door Cure53 en Assured AB bevestigden minimale kwetsbaarheden. Mullvad slaat geen verbindingslogs, verkeersgegevens of persoonlijk identificeerbare informatie op zijn 700+ servers in 50+ landen op.

Zweedse Jurisdictie en Juridische Gegevensverzoeken

Zweden maakt deel uit van de 14 Eyes-inlichtingenalliantie. Dat klinkt op het eerste gezicht alarmerend. In de praktijk vertelt het juridische kader een genuanceerder verhaal voor VPN-aanbieders.

De Zweedse wet verplicht VPN-bedrijven niet tot het bewaren van gebruikersgegevens. Mullvad heeft geen verplichte databewaarplicht op grond van de huidige Zweedse telecommunicatieregelgeving. Dit betekent dat autoriteiten verzoeken kunnen indienen, maar Mullvad heeft niets opgeslagen om over te dragen.

In april 2023 betraden Zweedse politieagenten fysiek het kantoor van Mullvad in Göteborg met een huiszoekingsbevel. Agenten waren van plan computers met klantgegevens in beslag te nemen. Medewerkers van Mullvad legden uit dat er geen klantgegevens op enige machine bestonden, en de politie vertrok met lege handen. Die echte test bewees dat het no-logsbeleid standhoudt onder juridische druk.

Geschiedenis van Onafhankelijke Audits

Mullvad heeft meerdere beveiligingsaudits door derden voltooid. Elke audit onderzocht verschillende onderdelen van de infrastructuur en clientapplicaties.

Cure53-audit (2020)

Cure53, een in Berlijn gevestigd penetratietestbedrijf, auditreerde de Mullvad VPN-apps in 2020. Het team identificeerde in totaal 7 kwetsbaarheden: 2 van gemiddeld ernstniveau en 5 van laag ernstniveau. Mullvad patchte alle 7 problemen voordat het volledige auditrapport openbaar op zijn website werd gepubliceerd.

Assured AB-audit (2023)

Assured AB voerde in 2023 een infrastructuuraudit uit van de servers en interne systemen van Mullvad. De beoordeling omvatte serverconfiguraties, versleutelingsimplementatie en gegevensverwerkingsprocedures. De resultaten bevestigden dat de infrastructuur van Mullvad overeenkwam met zijn publieke no-logsclaims. Er werden tijdens dit onderzoek geen kritieke kwetsbaarheden ontdekt.

Cure53 App-audit (2023)

Cure53 keerde in 2023 terug voor een tweede ronde, gericht op bijgewerkte app-code. Deze vervolgaudit vond minder problemen dan de audit van 2020. Mullvad pakte alle bevindingen aan en publiceerde opnieuw het volledige rapport voor openbare inzage.

Het publiceren van volledige auditrapporten is ongebruikelijk in de VPN-industrie. Mullvad redigeert bevindingen niet en kiest niet selectief gunstige resultaten uit. Die transparantie geeft aanzienlijk gewicht aan zijn beveiligingsclaims.

Logboekbeleid: Wat Mullvad Wel en Niet Opslaat

Gegevens Die Mullvad Niet Verzamelt

Mullvad logt geen verkeersgegevens, verbindingstijdstempels, sessieduur of IP-adressen. Het slaat geen DNS-query’s, bandbreedtegebruiksregistraties of VPN-servertowijzingen op. Accountactiviteit blijft volledig losgekoppeld van surfgedrag of verbindingsmetadata.

Gegevens Die Mullvad Wel Verwerkt

Mullvad verwerkt het totale aantal gelijktijdige verbindingen per account (begrensd op 5). Deze teller bestaat in realtime en wordt niet naar enige permanente opslag geschreven. Op het moment dat u de verbinding verbreekt, telt de teller terug. Er blijft geen historisch record bewaard.

Mullvad verwerkt ook kortetermijn geaggregeerde serverbelastingsgegevens voor prestatieoptimalisatie. Deze gegevens bevatten geen gebruikersidentificeerbare informatie en worden automatisch vernieuwd.

Het Accountsysteem

Mullvad genereert een willekeurig 16-cijferig accountnummer. Geen e-mail, geen naam, geen wachtwoord vereist. U kunt betalen met contant geld per post, Bitcoin of Monero. Dit ontwerp elimineert persoonlijk identificeerbare informatie volledig uit het aanmeldproces.

Versleutelingsstandaarden en Protocollen

Mullvad ondersteunt twee protocollen: WireGuard en OpenVPN. Beide implementaties gebruiken sterke, goed beoordeelde cryptografische standaarden.

WireGuard-implementatie

WireGuard gebruikt ChaCha20 voor symmetrische versleuteling, Curve25519 voor sleuteluitwisseling en BLAKE2s voor hashing. Mullvad gebruikt WireGuard standaard op alle platforms. Verbindingshandshakes zijn op de meeste netwerken binnen 100 milliseconden voltooid.

OpenVPN-implementatie

OpenVPN-verbindingen gebruiken AES-256-GCM voor versleuteling van het gegevenskanaal. Sleuteluitwisseling is afhankelijk van RSA-4096-certificaten met SHA-512-authenticatie. Mullvad configureert OpenVPN met tls-auth om fingerprinting en DDoS-aanvallen op de VPN-tunnel te voorkomen.

Kwantumbestendige Tunnels

Mullvad voegde in 2023 post-kwantumsleuteluitwisseling toe aan WireGuard-tunnels. Deze functie laagt Classic McEliece en Kyber-sleutelinkapseling bovenop standaard WireGuard-cryptografie. Mullvad was de eerste commerciële VPN die deze functie op desktopplatforms uitbracht.

Kill Switch en DNS-lekbescherming

Kill Switch-gedrag

De kill switch van Mullvad wordt standaard geactiveerd op alle platforms. Het blokkeert al het internetverkeer wanneer de VPN-tunnel onverwacht wegvalt. De implementatie werkt op firewallniveau, niet op applicatieniveau. Dit voorkomt lekken zelfs als de Mullvad-app volledig crasht.

Op Linux gebruikt Mullvad nftables-regels om verkeerblokkering af te dwingen. Op Windows wijzigt het het Windows Filtering Platform. Op macOS gebruikt het pakketfilterregels. Elke implementatie voorkomt tegelijkertijd zowel IPv4- als IPv6-lekken.

DNS-lekbescherming

Mullvad routeert alle DNS-query’s via zijn eigen versleutelde DNS-servers. De app blokkeert systeem-DNS-verzoeken die de tunnel proberen te omzeilen. Mullvad beheert DNS-servers op elke VPN-serverlocatie, waarbij query’s lokaal worden opgelost zonder doorsturen naar derden.

Gebruikers kunnen ook aangepaste DNS configureren binnen de app. Zelfs met aangepaste DNS reizen query’s nog steeds binnen de versleutelde tunnel. Onafhankelijke lektests laten consistent nul DNS-, WebRTC- of IPv6-lekken zien in alle Mullvad-clients.

Eerdere Beveiligingsincidenten

Politieinval (april 2023)

Zes agenten van de Zweedse nationale politie betraden het kantoor van Mullvad in Göteborg. Ze droegen een huiszoekingsbevel van de rechtbank dat klantinformatie zocht. De CEO van Mullvad legde uit dat het bedrijf geen klantgegevens opslaat. De politie nam geen apparatuur in beslag en vertrok nadat het juridische team van Mullvad de toepasselijkheid van het bevel aanvocht.

Geen Bekende Datalekken

Vanaf de laatste auditcyclus heeft Mullvad nul datalekken gemeld. Er zijn geen gebruikersgegevens aangetroffen in uitgelekte databases. Er zijn geen credential stuffing-aanvallen van toepassing omdat Mullvad geen wachtwoorden of e-mailadressen gebruikt. Het 16-cijferige accountnummersysteem beperkt het aanvalsoppervlak aanzienlijk.

Kwetsbaarheidsmeldingen

Mullvad hanteert een actieve bug bounty-aanpak en publiceert beveiligingsadviezen op zijn blog. Alle kwetsbaarheden die tijdens audits werden gevonden, ontvingen binnen weken na ontdekking patches. Het bedrijf heeft geen zero-day-exploitatie van zijn productie-infrastructuur meegemaakt.

Unieke Beveiligingsfuncties

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad ontwikkelde DAITA om verkeersanalyse-aanvallen tegen te gaan. Deze functie vult pakketten op tot uniforme groottes en injecteert lokvalieverkeerspatronen. Het voorkomt dat tegenstanders kunnen identificeren welke websites gebruikers bezoeken op basis van verkeersvingerafdrukken.

Versleuteld DNS Over HTTPS (DoH)

Mullvad biedt een openbare DoH-service aan op dns.mullvad.net. Gebruikers kunnen DNS-query’s versleutelen zelfs zonder dat de VPN actief is. De service bevat optionele DNS-profielen voor het blokkeren van advertenties en trackers.

Schijfloze RAM-Only Servers

Mullvad beheert zijn gehele servervloot in RAM-only modus. Er bestaan geen harde schijven in de servers. Elke herstart wist alle gegevens volledig. Deze architectuur zorgt ervoor dat fysieke serverinbeslagname geen bruikbare informatie oplevert.

Multihop-routing

Gebruikers kunnen verkeer routeren via 2 afzonderlijke VPN-servers in verschillende landen. Dit voegt een tweede versleutelingslaag toe en scheidt het ingangspunt van het uitgangspunt. Multihop is rechtstreeks in de app configureerbaar zonder handmatige installatie.

Veelgestelde Vragen

Bewaart Mullvad Logs?

Mullvad bewaart geen persistente logs. Geen verkeerslogboeken, verbindingstijdstempels, IP-adressen of sessiegegevens raken de schijfopslag. Twee onafhankelijke audits hebben deze claim geverifieerd. De RAM-only serverinfrastructuur zorgt ervoor dat zelfs tijdelijke gegevens bij herstart verdwijnen. De politieinval van Mullvad in 2023 bevestigde dat er geen gebruikersgegevens bestonden om in beslag te nemen.

Is Mullvad Ooit Gehackt?

Mullvad is niet gehackt. Er zijn geen datalekken of ongeautoriseerde toegangsgebeurtenissen publiekelijk gemeld of tijdens audits ontdekt. Het wachtwoordloze accountsysteem en de RAM-only servers verkleinen het aanvalsoppervlak ten opzichte van typische VPN-aanbieders. Cure53 vond geen kritieke kwetsbaarheden tijdens de audits van 2020 of 2023.

Is Mullvad Betrouwbaar?

Mullvad toont betrouwbaarheid door herhaalde onafhankelijke audits, volledige rapporttransparantie en een echte juridische test. Het bedrijf publiceert zijn broncode openlijk op GitHub. Het accepteert anonieme contante betalingen. Het overleefde een politiedoorzoeking zonder enige gegevens over te dragen. Deze geverifieerde acties wegen zwaarder dan marketingbeloften.

Kan Mullvad Mijn Gegevens Zien?

Mullvad kan uw surfgegevens niet zien. Verkeer binnen de VPN-tunnel gebruikt AES-256 of ChaCha20-versleuteling. De servers van Mullvad verwerken versleutelde pakketten, maar inspecteren, registreren of slaan geen inhoud op. De RAM-only architectuur voorkomt dat tijdelijke verwerkingsgegevens na de actieve sessie bewaard blijven.

De Conclusie over de Beveiliging van Mullvad

Mullvad verdient zijn vertrouwensscore van 86/100 door architectuur, niet door beloften. RAM-only servers, accountanonimiteit, gepubliceerde auditrapporten en een geverifieerde uitkomst van een politieinval onderscheiden het van de rest. Het vaste tarief van €5/maand zonder proefperiodes of kortingen weerspiegelt een bedrijf dat gericht is op dienstverlening in plaats van abonneeaantal. Voor gebruikers die verificatie van privacy boven het aantal functies stellen, blijft Mullvad een van de sterkste beschikbare opties op zijn 700+ servers in 50+ landen.