La notizia è arrivata come una bomba per coloro che operano nel settore VPN, che rispetto ad altri come il Web hosting, sembra più simile a un cottage in cui tutti conoscono tutti gli altri.

10 giorni fa, l'utente di Reddit 8obhex, ha scritto un post esplosivo su un documento di reclamo criminale (PDF) che alludeva al fatto che Highwinds Network Group, ora di proprietà di StackPath, e la società dietro la popolare IPVanish VPN, tenevano i registri nonostante il loro no- politica di registrazione.

Ciò che seguì fu un torrente di commenti che terminò bruscamente quando furono cancellati l'account 8obhex e nove commenti correlati. La successiva furia causata dalla divulgazione ha costretto Lance Crosby, l'amministratore delegato dell'azienda, a rilasciare una dichiarazione ufficiale su Reddit.

Techradar Pro ha contattato StackPath con nove domande, otto delle quali hanno ricevuto risposta da Jeremy Palmer, VP, Product and Marketing presso l'azienda.

1. I fascicoli giudiziari pubblicati recentemente su Reddit (IPVanish_Summons.png) suggeriscono che nel 2016 IPVanish ha risposto a una convocazione consegnando informazioni sulle attività di un utente, inclusi i tempi di connessione, eventualmente l'uso di protocolli specifici e tempi di disconnessione. Questi documenti sono un riepilogo completo e accurato di ciò che è accaduto o ci sono ulteriori informazioni di base che puoi fornire?

Poiché ciò è accaduto prima dell'acquisizione di Highwinds Network Group da StackPath, non abbiamo ulteriori dettagli su questo caso. L'ex team legale ed esecutivo è da tempo scomparso. Sarebbe impossibile per me speculare su cosa potrebbe essere successo.

2. IPVanish ha affermato di avere un severo “nessuna registrazione” politica per molti anni. La risposta della corte suggerisce che questo non era vero. Quali informazioni sono state registrate dal servizio durante il 2016? Se non sei sicuro di ciò che stava facendo la precedente gestione, quali azioni hai intrapreso per scoprirlo?

StackPath ha effettuato due diligence e un audit indipendente prima dell'acquisizione. Non è stato registrato alcun registro in memoria. Abbiamo effettuato un audit interno per garantire che la nostra politica corrente sia coerente con le nostre pratiche. Come ha affermato il nostro CEO Lance Crosby: "Senza eccezioni, IPVanish non lo fa, non lo ha, e non registrerà o memorizzerà i log dei nostri utenti come una società StackPath".

3. IPVanish ha la stessa politica sulla privacy oggi come sempre. Quando questo non sembra essere stato vero solo due anni fa, perché i potenziali clienti dovrebbero credere a quelle affermazioni di zero-logging ora?

È un'azienda completamente diversa, con un nuovo team esecutivo e legale. Sicurezza e privacy sono la nostra missione principale. Abbiamo investito molto nel nuovo team e nelle infrastrutture per garantire che la privacy dei nostri clienti sia sempre fondamentale.

4. I documenti del tribunale suggeriscono che nel 2016 IPVanish avrebbe consegnato i documenti quasi non appena fossero stati richiesti. Qual è la vostra attuale politica in merito alla risposta a richieste di forze dell'ordine, citazioni in giudizio o ordini di tribunali?

Questi documenti giudiziari non sono venuti in diligenza. Abbiamo sentito per la prima volta i dettagli di questo caso quando la storia è finita su Reddit.

Jeremy Palmer, StackPath

Il nostro team legale verificherà la legittimità e la giurisdizione dell'inchiesta. La nostra risposta a tali domande è semplicemente che non abbiamo informazioni da fornire, il che è assolutamente vero.

5. Se hai appreso per la prima volta di questo incidente dal rapporto su Reddit, come hai potuto uscire e dire che IPVanish non registra più? Non avresti dovuto fare una recensione completa prima?

Prima di questa storia, avevamo trascorso diversi mesi a prepararci per la legislazione GDPR dell'UE. Durante questo periodo abbiamo eseguito audit completi sui nostri sistemi e processi. Inoltre, abbiamo aggiornato la nostra politica sulla privacy per renderla più comprensibile e più trasparente.

6. Il tuo processo di due diligence a fine 2016, inizio 2017, ha rivelato i documenti del tribunale dal 2016? In quale momento hai scoperto questi documenti dal 2016?

Questi documenti giudiziari non sono venuti in diligenza. Abbiamo sentito per la prima volta i dettagli di questo caso quando la storia è finita su Reddit.

7. Se l'hai scoperto prima del rapporto Reddit, perché non hai divulgato pubblicamente tali informazioni, poiché l'incidente era in diretta contraddizione con la lunga esperienza di IPVanish “nessun registro” politica.

Vedi la risposta sopra

8. Hai cancellato il rapporto dicendo che non era sotto l'orologio. Ma dal momento che il team Highwinds è arrivato con l'acquisizione non ci sono ingegneri di lunga data in grado di rispondere per quello che è successo esattamente?

StackPath non ha acquisito l'intero team tecnico di Highwinds. Il team attuale non ha dettagli aggiuntivi sul caso.

9. Che cosa sta facendo oggi StackPath per proteggersi dal rischio di sequestro dei server e visualizzare i dati di log (anche involontariamente) sul disco rigido o sulla memoria di sistema?

Abbiamo molti livelli di sicurezza fisica e digitale per il servizio VPN. Tutti i dati sul traffico che transitano attraverso la nostra rete sono criptati e illeggibili da chiunque, inclusi noi.