Die Nachricht war eine Bombe für diejenigen, die in der VPN-Branche tätig sind, was im Vergleich zu anderen wie Webhosting eher wie ein Cottage scheint, in dem jeder mit allen anderen vertraut ist.

Reddit-Benutzer 8obhex schrieb vor 10 Tagen einen explosiven Beitrag über ein Dokument zu einer Strafanzeige (PDF), in dem darauf hingewiesen wurde, dass die im Besitz von StackPath befindliche Highwinds Network Group und das Unternehmen, das hinter dem beliebten IPVanish-VPN steht, trotz Protokollierungsrichtlinie.

Es folgte eine Flut von Kommentaren, die abrupt endeten, als der 8obhex-Account und neun dazugehörige Kommentare gelöscht wurden. Die anschließende Wut, die durch die Offenlegung verursacht wurde, zwang Lance Crosby, den CEO des Unternehmens, eine offizielle Erklärung zu Reddit abzugeben.

Techradar Pro wandte sich mit neun Fragen an StackPath, von denen acht von Jeremy Palmer, Vice President, Product and Marketing des Unternehmens, beantwortet wurden.

1. Vor kurzem auf Reddit veröffentlichte Gerichtsakten (IPVanish_Summons.png) legen nahe, dass IPVanish im Jahr 2016 auf eine Vorladung reagierte, indem es Informationen zu den Aktivitäten eines Benutzers übergab, einschließlich Verbindungszeiten, möglicherweise der Verwendung bestimmter Protokolle und Unterbrechungszeiten. Sind diese Aufzeichnungen eine vollständige und genaue Zusammenfassung der Vorgänge oder gibt es weitere Hintergrundinformationen, die Sie bereitstellen können??

Da dies vor der Übernahme von Highwinds Network Group durch StackPath geschah, liegen uns keine weiteren Details zu diesem Fall vor. Das ehemalige Rechts- und Führungsteam ist längst vorbei. Es wäre unmöglich für mich zu spekulieren, was passiert sein könnte.

2. IPVanish hat behauptet, eine strikte zu haben “keine Protokollierung” Politik für viele Jahre. Die Antwort des Gerichts deutet darauf hin, dass dies nicht stimmt. Welche Informationen wurden im Jahr 2016 vom Dienst erfasst? Wenn Sie sich nicht sicher sind, was das vorherige Management getan hat, welche Maßnahmen haben Sie ergriffen, um dies herauszufinden??

StackPath führte vor der Übernahme eine Due Diligence und eine unabhängige Prüfung durch. Es wurden keine Protokolle aufgezeichnet, die gespeichert wurden. Wir haben eine interne Prüfung durchgeführt, um sicherzustellen, dass unsere derzeitige Richtlinie mit unseren Praktiken übereinstimmt. Wie unser CEO Lance Crosby sagte: "IPVanish protokolliert oder speichert keine Protokolle unserer Benutzer als StackPath-Unternehmen."

3. IPVanish hat heute die gleichen Datenschutzrichtlinien wie immer. Wenn dies vor zwei Jahren noch nicht der Fall zu sein schien, warum sollten potenzielle Kunden diesen Zero-Logging-Behauptungen jetzt glauben?

Es ist ein völlig anderes Unternehmen mit einem neuen Executive- und Legal-Team. Sicherheit und Datenschutz sind unsere Kernaufgabe. Wir haben viel in das neue Team und die neue Infrastruktur investiert, um sicherzustellen, dass die Privatsphäre unserer Kunden immer im Vordergrund steht.

4. Aus den Gerichtsdokumenten geht hervor, dass IPVanish 2016 Dokumente fast so schnell wie gefordert übergeben würde. Wie sehen Sie derzeit bei der Beantwortung von Strafverfolgungsersuchen, Vorladungen oder Gerichtsbeschlüssen??

Diese Gerichtsunterlagen wurden nicht sorgfältig geprüft. Wir haben die Details dieses Falls zum ersten Mal gehört, als die Geschichte bei Reddit brach.

Jeremy Palmer, StackPath

Unser Juristenteam wird die Rechtmäßigkeit und Gerichtsbarkeit der Untersuchung überprüfen. Unsere Antwort auf diese Anfragen ist einfach, dass wir keine Informationen zur Verfügung stellen müssen, was absolut wahr ist.

5. Wenn Sie zum ersten Mal aus dem Bericht über Reddit von diesem Vorfall erfahren, wie könnten Sie dann sofort herausfinden, dass IPVanish nicht mehr protokolliert? Hätten Sie nicht vorher eine vollständige Überprüfung durchführen müssen?

Vor dieser Geschichte hatten wir uns mehrere Monate mit der Vorbereitung der EU-DSGVO beschäftigt. Wir haben in dieser Zeit umfassende Audits an unseren Systemen und Prozessen durchgeführt. Wir haben auch unsere Datenschutzrichtlinie aktualisiert, um sie verständlicher und transparenter zu gestalten.

6. Hat Ihr Due Diligence-Prozess Ende 2016, Anfang 2017, die Gerichtsunterlagen von 2016 aufgedeckt? In welchem ​​Moment haben Sie diese Dokumente ab 2016 entdeckt??

Diese Gerichtsunterlagen wurden nicht sorgfältig geprüft. Wir haben die Details dieses Falls zum ersten Mal gehört, als die Geschichte bei Reddit brach.

7. Wenn Sie vor dem Reddit-Bericht herausfanden, warum haben Sie diese Informationen nicht öffentlich zugänglich gemacht, da der Vorfall in direktem Widerspruch zu den langjährigen Erfahrungen von IPVanish stand “keine Protokolle” Politik.

Siehe die Antwort oben

8. Sie haben den Bericht gelöscht, indem Sie sagten, er habe sich nicht unter Ihrer Aufsicht befunden. Aber seit das Highwinds-Team mit der Akquisition gekommen ist, gibt es keine langjährigen Ingenieure, die darauf antworten können, was genau passiert?

StackPath hat nicht das gesamte Highwinds-Entwicklungsteam erworben. Das aktuelle Team hat keine weiteren Details zu dem Fall.

9. Was unternimmt StackPath heute, um sich vor dem Risiko von Server-Anfällen zu schützen und Protokolldaten (sogar unbeabsichtigt) auf der Festplatte oder im Systemspeicher anzuzeigen?

Wir verfügen über viele physische und digitale Sicherheitsschichten für den VPN-Dienst. Alle Verkehrsdaten, die über unser Netzwerk übertragen werden, sind verschlüsselt und für jedermann einschließlich uns nicht lesbar.