Mullvad حسابرسی پرداخت شخص ثالث را تکمیل می کند – در اینجا چیزی است که باید بدانید
مولود به تازگی ممیزی شخص ثالث سیستم های پرداخت و حساب های خود را تکمیل کرده است. این ارزیابی شامل بخشهایی بود که ورود به سیستم، تهیه دستگاه، پرداختها و تحویل کلید WireGuard را مدیریت میکرد.
ممیزی که توسط شرکت امنیتی X41 D-Sec انجام شد، کد پشتیبان مولود را در زیر میکروسکوپ جعبه سفید قرار داد.
ممیزی چه چیزی پیدا کرد؟
این ممیزی پنج موضوع مرتبط با امنیت، دو مورد با شدت کم و سه مورد متوسط، و همچنین چند نکته جزئی در مورد سخت شدن کلی را مشخص کرد. هیچ یک از یافتهها اطلاعات کاربر را فاش نکرد یا تضمینهای حریم خصوصی مولود را به خطر انداخت.
قابل توجه ترین مسئله، وضعیت مسابقه کوپن بود، که در آن می توان از همان کد در چندین حساب استفاده کرد. این نقص فقط بر صورتحساب تأثیر میگذارد و اطلاعات شخصی را فاش نمیکند. دو مورد از یافتههای متوسط برای جلوگیری از خطرات احتمالی در دسترس بودن از گزارش عمومی حذف شدند، اما مولود تأیید کرد که آنها بر محرمانگی یا یکپارچگی دادهها تأثیری ندارند.
جلسات توجیهی فرصتهایی را برای تقویت بیشتر امنیت پشتیبان، مانند بهبود mTLS در سرویسهای داخلی، سادهسازی پیکربندیهای Nginx و امضای فهرست رله، پوشش میداد. مولود می گوید این توصیه ها در حال حاضر در حال بررسی است.
چرا ممیزی شخص ثالث مهم است؟
برای سرویسهای متمرکز بر حریم خصوصی مانند مولود، ممیزیهای خارجی فقط روابط عمومی خوبی نیستند. این راهی است برای کاربران تا تأیید کنند که VPN آنچه را که ادعا می کند انجام می دهد. با تأکید بسیار بر سیاستهای حفظ حریم خصوصی و زیرساختهای پشتیبان، آزمایش شخص ثالث لایهای از مسئولیتپذیری را اضافه میکند که از صفحات بازاریابی یا کنترلهای امنیتی داخلی دریافت نمیکنید.
VPN ها به طور منظم داده های حساس را پردازش می کنند: اعتبارنامه های ورود، نشانه های پرداخت، شناسه های دستگاه و موارد دیگر. حتی اگر سرویسی قول دهد که چیزی را ثبت نکند، کاربران همچنان باید اعتماد داشته باشند که سیستمهایشان برای پشتیبانی از این وعده ساخته شدهاند و زمانی که کد پرداختها یا تدارکات را مدیریت میکند، هیچ خطر پنهانی وجود ندارد. ممیزی هایی مانند این دقیقاً این حوزه ها را بررسی می کنند.
برخلاف ممیزیهای حریم خصوصی، که بر ادعاهای عدم ثبت گزارش تمرکز میکنند، این یک نگاه فنی عمیق به سیستمهای پشت صحنه بود. هیچ پرچم قرمزی برانگیخت، اما به Mullvad فرصتی داد تا خطاهای صورتحساب را برطرف کند، در دسترس بودن سرویس را سختتر کند و طراحی احراز هویت پشتیبان را بدون به خطر انداختن حریم خصوصی کاربر در این فرآیند بهبود بخشد.
مولود همچنین این یافتهها را منتشر کرد، از جمله جزئیاتی در مورد اینکه چه چیزی اصلاح شده و چرا: نشانه دیگری از این که شفافیت همچنان در قلب رویکرد او قرار دارد.
ما خدمات VPN را برای استفاده های تفریحی مشروع آزمایش و بررسی می کنیم. به عنوان مثال: 1. دسترسی به یک سرویس از یک کشور دیگر (با توجه به شرایط و ضوابط سرویس مربوطه). 2. حفاظت از امنیت آنلاین و تقویت حریم خصوصی آنلاین شما در خارج از کشور. ما استفاده غیرقانونی یا سوء استفاده از خدمات VPN را پشتیبانی نمیکنیم. استفاده پولی از محتوای غیرقانونی توسط Future Publishing تایید یا تایید نمی شود.