ExpressVPN Güvenli mi? Güvenlik, Gizlilik ve Denetim Analizi

ExpressVPN Güvenli mi? Derinlemesine Güvenlik Analizi

ExpressVPN, doğrulanmış no-logs denetimlerine, AES-256 şifrelemesine ve 105 ülkedeki RAM-only sunuculara dayalı olarak 85/100 güven puanı almaktadır. İngiliz Virgin Adaları yargı alanında faaliyet göstermekte ve 14 Eyes gözetim ittifaklarının dışındadır. KPMG ve Cure53 tarafından yapılan birden fazla bağımsız denetim, no-logs taleplerinin inceleme altında kalmasını doğrulamaktadır.

Yargı Alanı: İngiliz Virgin Adaları Neden Önemlidir

ExpressVPN, İngiliz Virgin Adalarında kurulmuştur ve bu yer İngiltere’nin egemen olmayan aşırı deniz bölgesidir. İngiliz Virgin Adaları’nda VPN sağlayıcıları için zorunlu veri saklama yasaları bulunmamaktadır. Bu tek gerçek, ExpressVPN’nin hükümet veri isteklerine nasıl yanıt verdiğini şekillendirir.

İngiliz Virgin Adaları, 5 Eyes, 9 Eyes ve 14 Eyes istihbarat paylaşım ittifaklarının dışında yer almaktadır. Dış ülke hükümeti istekleri, ExpressVPN’ye ulaşmadan önce İngiliz Virgin Adaları Yüksek Mahkemesi’nden geçmesi gerekir. İngiliz Virgin Adaları’nın yabancı talimatları veya gözetim emirlerini doğrudan yerine getirme yasal yükümlülüğü yoktur.

Bu yargı alanı avantajı 2017’de gerçek kanıtlanmıştır. Türk yetkililer, bir siyasi soruştuma sırasında bir ExpressVPN sunucusunu ele geçirmişlerdir. Sunucu sıfır kullanıcı verisi içermekte idi ve bu da no-logs politikasının gerçek hükümet baskısı altında işe yaradığını doğrulamıştır.

Bağımsız Denetim Tarihi

ExpressVPN, çoğu rakibinden daha fazla üçüncü taraf güvenlik denetimi tamamlamıştır. Her denetim, hizmetin gizlilik ve güvenlik taleplerinin farklı yönlerini incelemiştir.

KPMG No-Logs Denetimleri

KPMG, ExpressVPN’nin no-logs politikasını 2022’de ve tekrar 2024’te denetlemiştir. Her iki denetim de ExpressVPN’nin TrustedServer teknolojisinin herhangi bir faaliyet günlüğü, bağlantı günlüğü veya IP adresi depolamadığını doğrulamıştır. KPMG, bu iddiaları bağımsız olarak doğrulamak için üretim sunucularını ve iç sistemleri test etmiştir.

Cure53 Güvenlik Denetimleri

Saygın bir Alman siber güvenlik firması olan Cure53, ExpressVPN’yi birden fazla kez denetlemiştir. 2019’da Cure53, tarayıcı uzantılarını incelemiş ve kritik bir zafiyet bulmamıştır. 2021’de Lightway protokolünü denetlemiş ve kriptografik uygulamasının sağlam olduğunu doğrulamıştır. 2022 denetimi, TrustedServer altyapısını gözden geçirmiş ve bunu güçlü olarak derecelendirmiştir.

PwC Denetimi

PricewaterhouseCoopers, 2019’da erken bir no-logs denetimi yürütmüştür. PwC, ExpressVPN’nin sunucu konfigürasyonunun halka açık gizlilik politikasıyla eşleştiğini doğrulamıştır. Bu, ExpressVPN’nin yaptırdığı ilk büyük denetimlerden birini işaretlemiştir.

ExpressVPN, tüm denetim sonuçlarının özetlerini web sitesinde yayınlamaktadır. Tam Cure53 raporları kamuya açıktır ve bu da VPN endüstrisi için ortalamanın üzerinde şeffaflığı gösterir.

Günlükleme Politikası: Ne Depolanır ve Ne Depolanmaz

ExpressVPN’nin gizlilik politikası, hangi verileri topladığını açıkça belirtir. Pazarlama iddiaalarından ziyade spesifikasykları anlamak daha önemlidir.

ExpressVPN’nin DEPOLAMADıĞı Veriler

ExpressVPN, tarama geçmişinizi, trafik hedefini, DNS sorgularını veya IP adresini günlüğe almaz. Bağlantı zaman damgasını, oturum süresini veya atanan VPN IP adreslerini kaydetmez. İletişimlerinizin hiçbir içeriği herhangi bir günlükleme sisteminden geçmez.

ExpressVPN’nin TOPLA Ğı Veriler

ExpressVPN, kullandığınız uygulama sürümü, seçtiğiniz sunucu konumu (özel sunucu değil) ve günlük tüketilen toplam bant genişliği gibi toplu bağlantı verilerini toplar. Bu veriler bireysel kullanıcıları tanımlayamaz veya etkinliği belirli hesaplara bağlayamaz. Bunu, 3.000+ sunucu ağında sunucu kapasitesini korumak için kullanır.

Hesap e-postanız, ödeme bilgileriniz ve destek bileti geçmişi faturalandırma amacıyla depolanır. Maksimum gizlilik isteyenler Bitcoin ile ödeme yapabilir veya tek kullanımlık bir e-posta adresi kullanabilir.

Şifreleme Standartları ve Protokolleri

ExpressVPN, varsayılan standart olarak AES-256-GCM şifrelemesini kullanır. Bu, ABD hükümeti tarafından gizli bilgiler için kullanılan aynı şifreleme düzeyidir. AES-256’yı kırmak, şu anda mevcut olmayan hesaplama gücü gerektirirdi.

Kullanılabilir Protokoller

ExpressVPN, uygulamalar arasında 4 VPN protokolü sunar. Lightway, wolfSSL üzerine inşa edilen ve ChaCha20 veya AES-256 şifrelemesini kullanan tescilli protokolüdür. OpenVPN, UDP ve TCP üzerinde AES-256-GCM ile çalışır. IKEv2/IPSec, hızlı mobil bağlantılar için seçilmiş platformlarda mevcuttur.

Lightway özel dikkat gerektirir. Kod tabanı yaklaşık 2.000 satır kod içerirken, OpenVPN 70.000’den fazla satır içerir. Daha az satır, daha az olası zafiyet ve 1 saniyenin altında hızlı bağlantı süreleri anlamına gelir. Cure53, ExpressVPN’nin GitHub’da açık kaynak olarak yayınladığı Lightway kaynak kodunu denetlemiştir.

Mükemmel İleri Gizliliği

ExpressVPN, her bağlantı oturumu için yeni bir şifreleme anahtarı müzakere eder. Saldırgan bir oturum anahtarını bir şekilde tehlikeye atarsa, geçmiş ve gelecek oturumlar korunmaya devam eder. Bu özellik, yakalanan trafiğin toplu retroaktif şifresi çözülmesini önler.

Kill Switch ve DNS Sızıntı Koruması

ExpressVPN, kill switch’ini “Network Lock” olarak adlandırır. Windows, Mac, Linux ve yönlendiricilerde varsayılan olarak etkinleştirilir. Network Lock, VPN bağlantısı beklenmedik şekilde düşerse tüm internet trafiğini engeller.

Network Lock, uygulama düzeyinde değil güvenlik duvarı düzeyinde çalışır. Bu yaklaşım, uygulama düzeyindeki kill switch’lerin sıklıkla kaçırdığı kısa yeniden bağlanma pencereleri sırasında sızıntıları önler. Trafiğe yalnızca VPN tüneli ve ExpressVPN’nin DNS sunucularına izin verir.

ExpressVPN, her sunucuda kendi özel, şifreli DNS’ini çalıştırır. DNS sorgularınız asla Google veya Cloudflare gibi üçüncü taraf DNS sağlayıcılarına dokunmaz. Bu, yazılım yamaları yerine altyapı düzeyinde DNS sızıntısı riskini ortadan kaldırır.

Bağımsız test araçları, ExpressVPN’nin önemli uygulamalarında sürekli olarak sıfır DNS sızıntısı, sıfır WebRTC sızıntısı ve sıfır IPv6 sızıntısı gösterir. Yönlendirici bellenmiş yazılımı, ağınızdaki her cihaza bu korumayı genişletir.

Geçmiş Güvenlik Olayları

Hiçbir güvenlik ürünü inceleme olmaksızın var olmaz. ExpressVPN, incelemeye değer iki önemli olayla karşı karşıya gelmiştir.

Türkiye Sunucu Ele Geçirilmesi (2017)

Türk yetkililer, Rus Büyükelçi Andrei Karlov’un suikastını soruşturdular. Şüpheli iletişimi aradığında bir ExpressVPN sunucusunu ele geçirdiler. Sunucu sıfır kullanılabilir veri içermekte idi ve bu gerçek dünya yasa uygulama baskısı altında no-logs altyapısını doğrulamıştır.

Kape Technologies Satın Alması (2021)

Kape Technologies, ExpressVPN’yi Eylül 2021’de yaklaşık 936 milyon dolar karşılığında satın almıştır. Kape daha önce Crossrider olarak faaliyet göstermişti ve yeniden markalaştırmadan önce adware dağıtımıyla ilişkili bir şirketti. Bu satın alma, gizlilik savunucuları arasında meşru endişeler uyandırmıştır.

ExpressVPN, bağımsız operasyonlarını ve İngiliz Virgin Adaları yargı alanını koruyarak yanıt vermiştir. Satın alma sonrası 2022 ve 2024 KPMG denetimleri, no-logs politikasının sağlam kaldığını doğrulamıştır. Şirket liderlik ekibini tutmuş ve denetim sonuçlarını şeffaf şekilde yayınlamaya devam etmiştir. Kullanıcılar, devam eden bağımsızlığı doğrulamak için gelecek denetimleri izlemelidir.

Benzersiz Güvenlik Özellikleri

ExpressVPN, benzer şifreleme standartlarına sahip rakipleriyle ayırt edici birkaç güvenlik özelliği sunar.

TrustedServer Teknolojisi

Her ExpressVPN sunucusu tamamen geçici RAM üzerinde çalışır, sabit sürücü değil. Sunucular her başlatmada salt okunur bir görüntü yükler. Tüm veriler, sunucu her yeniden başlatıldığında tamamen silinir. Bu mimari, VPN sunucularında kalıcı veri depolamayı fiziksel olarak imkansız kılar.

Threat Manager

Threat Manager, uygulamaların ve web sitelerinin bilinen izleyiciler ve kötü niyetli sunucularla iletişim kurmasını engeller. DNS düzeyinde tüm bağlı cihazlar arasında çalışır. ExpressVPN, tehdit istihbaratı verilerine dayanarak engel listelerini düzenli olarak günceller.

Express Keys (Parola Yöneticisi)

ExpressVPN, tüm aboneliklerle Express Keys adlı yerleşik bir parola yöneticisini paketler. Keys, sıfır bilgi şifrelemesi kullanır; bu da ExpressVPN’nin depolanan parolalarınıza erişemeyeceği anlamına gelir. Bu entegrasyon, VPN tünelinin ötesinde pratik güvenlik değeri ekler.

Kuantum Sonrası Koruma

ExpressVPN, Lightway protokolüne kuantum sonrası kriptografi desteği uygulamıştır. Bu özellik, mevcut şifreleme standartlarını kırabilen gelecekteki kuantum bilgisayar saldırılarından koruma sağlar. Mevcut test itibariyle çok az VPN sağlayıcısı bu korumayı uygulamıştır.

SSS

ExpressVPN Günlükleri Tutar mı?

ExpressVPN, faaliyet günlükleri, bağlantı günlükleri, IP adresleri veya tarama geçmişi tutmaz. Ağ bakımı için uygulama sürümü ve sunucu konum seçimi gibi minimal toplu veriler toplar. KPMG ve PwC denetimleri, bu no-logs taleplerini birden fazla yıl boyunca bağımsız olarak doğrulamıştır.

ExpressVPN Hacklenmişti mi?

ExpressVPN, kullanıcı bilgilerini etkileyen onaylanmış bir veri ihlalinden geçmemiştir. 2017 Türkiye sunucu ele geçirilmesi, no-logs sisteminin işe yaradığını ispatlamıştır çünkü yetkililer sıfır kullanıcı verisi kurtarmıştır. TrustedServer RAM-only mimarisi, olası herhangi bir fiziksel sunucu güvenliği ihlalinin etkisini sınırlandırır.

ExpressVPN Güvenilir mi?

ExpressVPN, 5+ bağımsız denetim, açık kaynaklı protokol kodu ve doğrulanmış no-logs olayı aracılığıyla güvenilirliği gösterir. Kape Technologies mülkiyeti, kullanıcıların bireysel olarak tartması gereken geçerli soruları gündeme getirmektedir. 30 günlük para iade garantisi, kullanıcıların hizmeti minimum finansal riskle test etmesine izin verir.

ExpressVPN Verilerime Erişebilir mi?

ExpressVPN, VPN tüneli içinde AES-256 uçtan uca şifreleme nedeniyle tarama verilerinize erişemez. TrustedServer altyapısı, verilerin herhangi bir sunucudaki diske yazılmasını önler. Bir mahkeme kararına rağmen zorlansa bile, ExpressVPN’nin teslim etme yararı olan depolanmış kullanıcı etkinlik verisi yoktur.