Många VPN-företag påstår att de inte sparar några känsliga loggar, det är trots allt marknadsförings-dängan nummer ett inom VPN-svängen. Och det är inte svårt att förstå varför: Vem vill teckna sig för en VPN som samarbetar med upphovsrättstrollen, regeringar och/eller myndigheter?

Jag har kikat närmare på 100+ VPN-företag, och anser att jag kan särskilja vilka som är att lita på, samt vilka ni bör hålla er borta ifrån.

Läs mer: Så här recenseras VPN-tjänsterna

Innan vi sätter igång

De VPN-företag som uppmärksammas i den här artikeln har valt att lätta på locket för att de ansåg att det var rätt väg att gå. De ville med andra ord inte skydda kunder som använde sin anonymitet på fel sätt. Men hur man än vrider och vänder på saken har VPN-företagen lovat att inte spara några känsliga loggar, och brutit mot det löftet. De har ägnat sig åt falsk marknadsföring, och det är inte okej någonstans.

PureVPN, IPVanish och HideMyAss har samarbetat med snokare, trots att de lovat att inte göra så. De valde att svika sina kunder, och det måste uppmärksammas. Om de bara hade varit transparenta med vad de sparar samt vilka de samarbetar med hade de sluppit alla skandaler.

Jag vill inte skadeglatt peka finger på VPN-företag som inte passar mig i smaken. Men rätt ska vara rätt – de VPN-företag som påstår sig vara loggfria, och i verkligheten inte är det, ska straffas – punkt.

Tre VPN-företag som samarbetar med myndigheter (frivilligt)

Omkring hundra VPN-tjänster har granskats, och bara tre av dessa har valt att samarbeta med myndigheter av olika slag, så problemet vad gäller oärliga VPN-aktörer är inte alltför omfattande.

PureVPN (samarbetade med FBI år 2017)

PureVPN är en av världens mest välkända VPN-företag. De lovar dyrt och heligt att de inte sparar några känsliga loggar, men vad hjälper det när de lämnar över precis allt till snokarna?

År 2017 slängde de en kund under bussen. Mer specifikt valde de att lämna över känsliga loggar, inklusive kundens IP-adress, till den amerikanska myndigheten FBI.

Till VPN-företagets försvar var den anklagade en riktig rövhatt, då han använde sin anonymitet för att kunna stalka en kvinna. Men det knasiga är att FBI skulle ha avslöjat honom i vilket fall. Enligt artikellänken som ni kan kika på ovan hade FBI redan säkrat bevis via mannens jobbdator, så PureVPN hade inte behövt lämna ut ett skvatt.

För det andra har PureVPN sitt säte i Hongkong. Samma VPN-företag hade därför kunnat säga nej, då banden mellan Hongkong och USA är lite knackiga. Skandalen hade dessutom kunnat förhindras, eller åtminstone mildras, om PureVPN bara skrivit ett ärligt loggavtal.

Efter att skandalen uppmärksammats i media har VPN-företaget låtit ett externt säkerhetsföretag granska deras loggpolicy, men med tanke på deras historia är det fullt förståeligt att många kunder tittar åt andra håll.

ipvanish-loggavtal-reklam
Sanning eller bullshit?

IPVanish (samarbetade med USA:s inrikesdepartement år 2016)

Även IPVanish lovar att de inte sparar några känsliga loggar, och de vackra orden verkade stämma – åtminstone till en början. Mer specifikt fick IPVanishs dåvarande ägare, Highwinds Network Group, en beordran om att hjälpa till vid en brottsutredning. Avsändaren var ingen mindre än USA:s inrikesdepartement, så det var knappast någon lättviktare de fick på halsen.

IPVanishs första replik var klockren. De bekräftade att IP-adressen tillhörde en av deras kunder, men att de inte kunde avslöja vem, då de inte sparade några känsliga loggar. På exakt samma sätt replikerar VPN-företag som sköter sig, såsom CyberGhost(recension) och OVPN(recension).

Men efter det började varningsklockorna ringa. Enligt rättsdokumenten hade IPVanish lämnat ut känslig information efter att USA:s inrikesdepartement knackat på en andra gång. Som ni ser nedan fick myndigheten ta del av precis allt, inklusive kundens IP-adress, känslig metadata (i det här fallet tidsstämplar) och mer:

ipvanish-myndighetspapper

Summan av kardemumman är att IPVanish ljög. De sparade känsliga loggar trots att de lovat den raka motsatsen. Kunden var dock ett riktigt kräk som hade en förkärlek för barnpornografi, så han vinner knappast några sympatipoäng från mitt håll.

Men igen, IPVanish ljög för sina användare – och det är inte okej. Numera tillämpar VPN-företaget exakt samma loggpolicy som var på plats år 2016, som ni ser nedan:

ipvanish-loggar

Men kan man verkligen lita på det dokumentet? VPN-företaget har dessutom inte granskats av några oberoende experter, vilket bör ses som ytterligare ett svaghetstecken.

HideMyAss (samarbetade med FBI år 2011)

HideMyAss (HMA) är ena riktiga skojare. De sparar känsliga loggar och samarbetar med både upphovsrättstroll samt myndigheter (FBI).

hidemyass-copystrike
HMA and upphovsrättstrollen sitting in a tree- K.I.S.S.I.N.G.

Det mest uppmärksammade FBI-fallet rörde ett gäng hackers som kom över miljontals lösenord från en Sony-ägd databas. Att stjäla lösenord är förstås inte någon uppskattad hobby, men att göra som HideMyAss, dvs. att lägga vantarna på känslig data och samarbeta med precis alla, kan knappast heller räknas som någon större merit.

Allt som allt är HideMyAss ett riktigt taskigt VPN-alternativ. Fildelning kan man glömma, loggavtalet är hemskt och deras rykte online likaså.

Ett VPN-företag samarbetar med myndigheter (ofrivilligt)

Vid min undersökning hittade jag bara ett VPN-företag som samarbetade med myndigheter av misstag. EarthVPN, som lovat sina kunder ett utmärkt skydd, slarvade med säkerheten, och som en konsekvens av det kunde diverse myndigheter snappa upp precis allt.

EarthVPN

EarthVPN påstod att de inte sparade några känsliga loggar, och trodde att de vackra orden stämde överens med verkligheten. Men sanningen var att deras datacenter sparade känsliga loggar (IP-adresser) utan VPN-företagets vetskap.

Med det sagt tar vi en kik på VPN-kunden, som visade sig vara en klant av sällan skådat slag – och inte heller han förtjänar någon sympati. Han tänkte på följande sätt: ”Aha, EarthVPN sparar inga känsliga loggar. Vad bra. Då passar jag på att bombhota precis allt och alla!”

Mannens bomhots-turné blev lyckligtvis kortvarig då nederländska myndigheter tillslut kunde gripa mannen efter att hans riktiga IP-adress kartlagts, så han fick det han förtjänade tillslut.

Men exakt hur åkte han dit egentligen? Svaret är ganska enkelt – nederländsk polis beslagtog alla VPN-servrar i det datacenter som EarthVPN hyrde. Mannens IP-nummer kunde därför kartläggas och efter det var loppet kört för bombhotar-tjommen.

Igen, han fick det han förtjänade. Det är aldrig okej att använda sin anonymitet för att kunna bete sig som en buffel. Men samtidigt – den här skandalen bekräftar fördomen om att somliga VPN-företag inte vet hur de ska skydda sina användare på bästa sätt. EarthVPN skadade hela branschen genom att inte ha koll på sitt eget maskineri.

VPN-företagen ska i bästa fall basa över sina egna VPN-servrar. OVPN(recension) kan nämnas som ett VPN-företag som föregår med gott exempel. De äger sin egen hårdvara och sparar ingenting överhuvudtaget. Alla servrar, även de som inte befinner sig i Sverige, är konfigurerade för att inte spara ett jota, och är dessutom helt befriade från fysisk lagring. Även CyberGhost(recension) tillämpar bra rutiner i sina datacenter.

EarthVPN skakades hårt av skandalen. Kundantalet sjönk undan för undan och VPN-företaget är numera mer eller mindre avvecklat. Deras webbsida är förvisso uppe och tickar, men några nya kunder lär det knappast vara tal om.

earthvpn
En lite lagom trasig webbsida..

VPN-företag inom Eyes-zonen: Samarbetar de med övervakarna?

Nej, bara för att ett specifikt VPN-företag har sitt säte inom Eyes-zonen betyder inte det att de skickar iväg känslig data till alla som knackar på.

Eyes-samarbetet är i grund och botten en övervakningsklubb, där samarbetande länder spionerar på sina egna invånare och berättar mer om vad de hittat till resten av medlemsländerna. Eyes-samarbetet består av tre olika delar; 5 Eyes, 9 Eyes och 14 Eyes, där följande länder ingår:

  • Australien (5 Eyes)
  • Kanada (5 Eyes)
  • Nya Zeeland (5 Eyes)
  • Storbritannien (5 Eyes)
  • USA (5 Eyes)
  • Danmark (9 Eyes)
  • Frankrike (9 Eyes)
  • Nederländerna (9 Eyes)
  • Norge (9 Eyes)
  • Sverige (14 Eyes)
  • Spanien (14 Eyes)
  • Italien (14 Eyes)
  • Belgien (14 Eyes)
  • Tyskland (14 Eyes)

I korthet är 5 Eyes-länderna mer tätt sammankopplade, medan 9 Eyes- och 14 Eyes-länderna inte samarbetar på ett lika aggressivt sätt.

Det finns dock inga specifika lagar som säger att VPN-företagen måste samarbeta med Eyes-länderna. Det är helt upp till VPN-aktörerna själva huruvida de vill vara behjälpliga eller inte.

Regeringar och brottsbekämpande myndigheter, såsom Säpo och Europool, kan övervaka VPN-företagens datacenter i realtid, och det kan vara problematiskt. Men om VPN-företaget ifråga inte sparar några känsliga loggar bör ni vara säkra.

Glöm inte heller att PureVPN har sitt säte utanför Eyes-regionen, och trots det valde att samarbeta med FBI. Mer specifikt har det ingen större betydelse huruvida ett VPN-företag har sitt säte i ett Eyes-land eller inte. Huvudsaken är att de inte sparar några känsliga loggar.

Många VPN-företag publicerar transperensrapporter

Majoriteten av VPN-företagen publicerar transparensrapporter på sina respektive webbsidor. Väl där avslöjar VPN-aktörerna om de tagit emot copyrightanslag, myndighetsförfrågningar, gag orders eller annat som kan vara av intresse för kunderna.

För att minska eventuell förvirring förklarar jag de tidigare nämnda begreppen:

Copyrightanslag: Ett upphovsrättstroll vill veta mer om ett specifikt IP-nummer. Målet är att kunden ifråga ska få det tvivelaktiga nöjet att ta emot ett hotbrev.

Myndighetsförfrågan: En myndighet, tex. polisen eller tullen, vill veta mer om ett specifikt IP-nummer. Målet är att kunden ska kunna dras inför rätta.

Gag order: VPN-företaget blir ombett att spara precis allt som rör en specifik kund. Även om VPN-aktören inte sparar några känsliga loggar i nuläget blir de tvungna att göra så i framtiden. Kunden ifråga blir därmed spårbar från och med det att VPN-företaget accepterat gag ordern.

VPN-företagen måste inte publicera transperensrapporter, men många väljer att göra så för att lugna kunderna – som får ett bevis på att VPN-företaget har rent mjöl i påsen. Nedan kan ni kika närmare på en av OVPN:s transparensrapporter, i vilken de bett upphovsrättslobbyn att fara och flyga.

ovpn-transperensrapport

Vilka VPN-företag kan man lita på?

Jag har publicerat en guide där jag snackar mer om de loggfria VPN-alternativen. Men om ni inte vill eller orkar hoppa över dit berättar jag mer om vilka VPN-företag som sköter sig precis här.

Jag gör även mitt bästa för att hålla listan uppdaterad. Om ni vill tipsa mig om något som är relevant inom det här området, hojta gärna till i kommentarsfältet så ändrar jag artikeln bums.

Dessa VPN-företag samarbetar inte med övervakare och sparar inte heller några känsliga loggar:

CyberGhost(recension) – en utmärkt VPN som inte sparar känsliga loggar. De har sitt säte utanför 5 Eyes-zonen och har granskats av externa säkerhetsföretag.

NordVPN(recension) – var med om en dataläcka år 2018, men lyckligtvis kunde inget av värde utvinnas. VPN-företaget sparar inga känsliga loggar, förbättrar sina appar undan för undan och samarbetar aldrig med snokare.

OVPN(recension) – äger sin egen hårdvara, släpper månatliga transperensrapporter, sparar inga känsliga loggar och alla snokare får foten vid dörren.

Surfshark(recension) – sparar inga känsliga loggar och har sitt säte i Brittiska Jungfruöarna, dvs. en bra bit från Eyes-zonen. Inte heller de samarbetar med myndigheter enligt loggavtalet.

ExpressVPN(recension) – sparar ingenting av värde och samarbetar inte med några övervakare. En av deras turkiska servrar blev dock beslagtagen år 2019, men samma lands myndigheter kunde inte hitta ett jota.

ProtonVPN(recension) – har granskats av Mozilla och all mjukvara är baserad på öppen källkod, så vem som helst kan inspektera den. VPN-företaget har sitt säte i Schweiz, som tillämpar sjysta datalagar och befinner sig utanför Eyes-samarbetet.

Sammanfattning

Jag har granskat 100+ VPN-företag, och ”bara” tre av dem har samarbetat med övervakare – dvs. IPVanish, PureVPN och HideMyAss. Utöver det valde EarthVPN att samarbeta med ett opålitligt datacenter, och på grund av det hamnade en kund i kläm.

Kan ni lämna exempel på fler VPN-företag som samarbetar med myndigheter, upphovsrättstroll och/eller regeringar? Om så är fallet – tjoa gärna till i kommentarsfältet eller via Twitter och Facebook.

Prenumerera
Notifiera mig
guest
3 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Siial

Mycket intressant artikel då har fått ihop! Keep it up 🙂

Dock måste jag bara få fråga, på PureVPN har du skrivit:

IPVanish hade inte behövt lämna ut ett skvatt.

För det andra har PureVPN sitt säte i Hongkong.

Ska det verkligen vara IPVanish där eller är det jag som är riktigt trött?