Är Mullvad säker? Säkerhet, integritet & revisionsanalys

Är Mullvad säker? En direkt bedömning

Mullvad får 86/100 på vårt förtroendeindex. Det är verksamt under svensk jurisdiktion, kostar en fast €5/månad utan konton och tillämpar en verifierad no-logs-policy. Oberoende revisioner av Cure53 och Assured AB bekräftade minimala säkerhetsproblem. Mullvad lagrar noll anslutningsloggar, trafikdata eller personlig identifierbar information på sina 700+ servrar i 50+ länder.

Svensk jurisdiktion och juridiska datakrav

Sverige tillhör 14 Eyes-alliansen för underrättelsedelning. Det verkar oroande vid första anblicken. I praktiken berättar den juridiska ramen en mer nyanserad historia för VPN-leverantörer.

Svensk lag kräver inte att VPN-företag sparar användardata. Mullvad har ingen obligatorisk datalagringsskyldighet enligt nuvarande svenska telekomregler. Detta betyder att myndigheter kan ställa förfrågningar, men Mullvad har ingenting sparat att överlämna.

I april 2023 gick svensk polis fysiskt in på Mullvads kontor i Göteborg med en husransakningsorder. Officerare avsåg att beslagta datorer innehållande kunddata. Mullvads personal förklarade att ingen kunddata fanns på några maskiner, och polisen lämnade tom-handed. Det verkliga testet visade att no-logs-policyn håller under juridisk press.

Oberoende revisionshistorik

Mullvad har slutfört flera tredjepartsrevisioner av säkerhet. Varje revision undersökte olika delar av infrastrukturen och klientapplikationer.

Cure53-revision (2020)

Cure53, ett Berlin-baserat penetrationstestningsföretag, reviderade Mullvad VPN-apparna 2020. Teamet identifierade 7 säkerhetsproblem totalt: 2 klassificerade som medelstor allvarlighetsgrad, 5 klassificerade som låg allvarlighetsgrad. Mullvad lagade alla 7 problem innan den fullständiga revisionsrapporten publicerades på sin webbplats.

Assured AB-revision (2023)

Assured AB genomförde en infrastrukturrevision av Mullvads servrar och interna system 2023. Bedömningen omfattade serverkonfigurationer, krypteringsimplementering och datahanteringsprocedurer. Resultaten bekräftade att Mullvads infrastruktur matchade dess offentliga no-logs-påstående. Inga kritiska säkerhetsproblem upptäcktes under detta arbete.

Cure53-apprevision (2023)

Cure53 återvände för en andra runda 2023, med fokus på uppdaterad appkod. Denna uppföljning fann färre problem än revisionen 2020. Mullvad löste alla fynd och släppte återigen den fullständiga rapporten för offentlig granskning.

Publicering av fullständiga revisionsrapporter är ovanligt i VPN-industrin. Mullvad redigerar inte fynd eller väljer selektivt gynnsamma resultat. Denna transparens ger betydande vikt till dess säkerhetspåstående.

Loggningspolicy: Vad Mullvad lagrar och inte lagrar

Data som Mullvad inte samlar

Mullvad loggar inte trafikdata, anslutningstidsstämplar, sessionslängd eller IP-adresser. Det lagrar inga DNS-frågor, bandbreddsanvändningsregister eller VPN-servertilldelningar. Kontoaktivitet förblir helt avskild från surfbeteende eller anslutningsmetadata.

Data som Mullvad bearbetar

Mullvad bearbetar det totala antalet samtidiga anslutningar per konto (begränsat till 5). Denna räknare finns i realtid och skrivs inte till någon permanent lagring. Det ögonblick du kopplar från, minskar denna räknare. Ingen historisk post finns kvar.

Mullvad behandlar också kortvarig aggregerad serverbelastningsdata för prestandaoptimering. Denna data innehåller noll användaridentifierbar information och roteras automatiskt.

Kontosystemet

Mullvad genererar ett slumpmässigt 16-siffrigt kontonummer. Ingen e-post, inget namn, inget lösenord krävs. Du kan betala med post skickad i ett kuvert, Bitcoin eller Monero. Denna design eliminerar personlig identifierbar information från registreringsprocessen helt.

Krypteringsstandarder och protokoll

Mullvad stöder två protokoll: WireGuard och OpenVPN. Båda implementeringarna använder starka, väl granskade kryptografiska standarder.

WireGuard-implementering

WireGuard använder ChaCha20 för symmetrisk kryptering, Curve25519 för nyckelutbyte och BLAKE2s för hashning. Mullvad använder WireGuard som standard på alla plattformar. Anslutningshandskaningar slutförs på under 100 millisekunder på de flesta nätverk.

OpenVPN-implementering

OpenVPN-anslutningar använder AES-256-GCM för datakanalskryptering. Nyckelutbyte förlitar sig på RSA-4096-certifikat med SHA-512-autentisering. Mullvad konfigurerar OpenVPN med tls-auth för att förhindra fingeravtryck och DDoS-attacker på VPN-tunneln.

Kvantresistenta tunnlar

Mullvad lade till post-quantum nyckelutbyte till WireGuard-tunnlar 2023. Denna funktion lager Classic McEliece och Kyber nyckelinkapsling ovanpå standard WireGuard-kryptografi. Mullvad var den första kommersiella VPN-leverantören att leverera denna funktion på alla skrivbordsplattformar.

Kill Switch och DNS-läckageskydd

Kill Switch-beteende

Mullvads kill switch aktiveras som standard på alla plattformar. Det blockerar all internettrafik när VPN-tunneln tappar oväntat. Implementeringen fungerar på brandväggsnivå, inte på applikationsnivå. Detta förhindrar läckor även om Mullvad-appen kraschar helt.

På Linux använder Mullvad nftables-regler för att tillämpa trafikblockering. På Windows ändrar den Windows Filtering Platform. På macOS använder den paketfiltreringsregler. Varje implementering förhindrar både IPv4- och IPv6-läckor samtidigt.

DNS-läckageskydd

Mullvad dirigerar alla DNS-frågor genom sina egna krypterade DNS-servrar. Appen blockerar system-DNS-förfrågningar som försöker kringgå tunneln. Mullvad använder DNS-servrar på varje VPN-serverplats, löser frågor lokalt utan vidarebefordran till tredje parter.

Användare kan också konfigurera anpassad DNS i appen. Även med anpassad DNS reser frågor inne i den krypterade tunneln. Oberoende läckagetester visar konsekvent noll DNS-, WebRTC- eller IPv6-läckor över alla Mullvad-klienter.

Tidigare säkerhetshändelser

Polisräd (april 2023)

Sex officerare från den svenska polisen gick in på Mullvads Göteborgkontor. De bar en distriktsdomstols husransakningsorder som sökte kunduppgifter. Mullvads VD förklarade att företaget inte lagrar någon kunddata. Polisen beslagtog ingen utrustning och lämnade sedan Mullvads juridiska team ifrågasatte orderns tillämplighet.

Inga kända dataintrång

Från och med den senaste revisionscykeln har Mullvad rapporterat noll dataintrång. Ingen användardata har dykt upp i läckta databaser. Inga credential stuffing-attacker gäller eftersom Mullvad inte använder lösenord eller e-postadresser. 16-sifferskontonummersystemet begränsar attackytan väsentligt.

Säkerhetspubliceringar

Mullvad upprätthåller en aktiv bug bounty-metod och publicerar säkerhetsbulletiner på sin blogg. Alla sårbarheter som hittades under revisioner fick patchar inom veckor från upptäckten. Företaget har inte upplevt någon noll-days-exploatering av sin produktionsinfrastruktur.

Unika säkerhetsfunktioner

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad utvecklade DAITA för att motverka trafikanalysattacker. Denna funktion fyller paket till enhetliga storlekar och injicerar attrapptrafikmönster. Det förhindrar motståndare från att identifiera vilka webbplatser användare besöker baserat på trafikfingeravtryck.

Krypterad DNS över HTTPS (DoH)

Mullvad erbjuder en offentlig DoH-tjänst på dns.mullvad.net. Användare kan kryptera DNS-frågor även utan VPN-körning. Tjänsten inkluderar valfri annons- och spårningsblockering av DNS-profiler.

Diskfria RAM-Only-servrar

Mullvad kör sin hela serverflotta i RAM-only-läge. Ingen hårddisk finns på servrarna. Varje omstart raderar all data helt. Denna arkitektur säkerställer att fysiska serverbeslagtagningar ger noll användbar information.

Multihop-routning

Användare kan dirigera trafik genom 2 separata VPN-servrar i olika länder. Detta lägger till ett andra krypteringslager och separerar ingångspunkten från utgångspunkten. Multihop är konfigurerbar direkt i appen utan manuell installation.

Vanliga frågor

Behåller Mullvad loggar?

Mullvad behåller noll permanenta loggar. Ingen trafik loggar, anslutningstidsstämplar, IP-adresser eller sessiondata rör disklagring. Två oberoende revisioner verifierade detta påstående. RAM-only-serverarkitekturen säkerställer att även temporär data försvinner vid omstart. Mullvads räd från 2023 bekräftade att ingen användardata fanns att beslagta.

Har Mullvad blivit hackat?

Mullvad har inte blivit hackat. Inga dataintrång eller obehöriga åtkomstevent har rapporterats offentligt eller upptäckts under revisioner. Det lösenordslösa kontosystemet och RAM-only-servrar minskar attackytan under typiska VPN-leverantörer. Cure53 fann inga kritiska säkerhetsproblem under någon av 2020 eller 2023 revisionerna.

Är Mullvad pålitligt?

Mullvad påvisar pålitlighet genom upprepade oberoende revisioner, fullständig rapporttransparens och ett verkligt juridiskt test. Företaget publicerar sin källkod öppet på GitHub. Det accepterar anonym kontantbetalning. Det överlevde en polisövervakning utan att avslöja någon data. Dessa verifierade åtgärder väger mer än marknadsföringslöften.

Kan Mullvad se min data?

Mullvad kan inte se din surfdata. Trafik inuti VPN-tunneln använder AES-256 eller ChaCha20-kryptering. Mullvads servrar bearbetar krypterade paket men inspekterar, registrerar eller lagrar inte innehållet. RAM-only-arkitekturen förhindrar att någon tillfällig bearbetningsdata kvarstår bortom den aktiva sessionen.

Slutsats om Mullvads säkerhet

Mullvad tjänar sitt 86/100 förtroendebetyg genom arkitektur, inte löften. RAM-only-servrar, kontoanonymitet, publicerade revisionsrapporter och ett verifierat räd-resultat från polisen särskiljer den. €5/månad-flatkursen utan försök eller rabatter återspeglar ett företag fokuserat på service snarare än abonnentvolym. För användare som prioriterar integritetsverifiering framför funktionsantal är Mullvad fortfarande ett av de starkaste alternativen tillgängliga över sina 700+ servrar i 50+ länder.