Eksekutif ExpressVPN Daniel Gericke membuat berita minggu lalu sebagai salah satu dari tiga mantan personel intelijen dan militer AS yang semuanya telah didenda lebih dari $1,6 juta oleh Departemen Kehakiman AS (DoJ) untuk menyelesaikan dugaan tuduhan seputar “Project Raven”.
Persisnya apa yang terjadi dan bagaimana pengaruhnya terhadap industri VPN adalah cerita yang rumit, terutama ketika ada banyak pihak yang terlibat, beberapa akronim tiga huruf dan beberapa istilah hukum yang digabungkan.
TechRadar Pro merinci fakta-fakta kunci, bagaimana Edward Snowden terlibat dan apakah pengguna ExpressVPN harus mengkhawatirkan insiden tersebut.
Apa sebenarnya yang diumumkan Departemen Kehakiman AS?
DoJ mengungkapkan bahwa tiga mantan agen intelijen AS – termasuk eksekutif ExpressVPN saat ini Daniel Gericke – menghadapi tuntutan federal sehubungan dengan pekerjaan mereka untuk DarkMatter, sebuah perusahaan yang berbasis di Uni Emirat Arab (UEA).
Orang-orang itu diduga bagian dari operasi rahasia yang disebut “Proyek Raven” yang berlangsung dari 2016 hingga 2019. Program tersebut memungkinkan pemerintah UEA untuk memata-matai berbagai sasaran, mulai dari tersangka teroris dan kritik terhadap rezimnya, menurut sebuah laporan Reuters.
Ketiga pria itu telah mencapai a perjanjian penangguhan penuntutan (DPA) dengan pemerintah AS. Penting untuk dicatat bahwa bertentangan dengan kepercayaan umum, DPA bukanlah putusan atau pembelaan, tetapi kesepakatan antara jaksa dan terdakwa untuk menyelesaikan masalah tanpa pergi ke pengadilan. Jika tindakan para terdakwa dianggap sangat merugikan kepentingan keamanan nasional AS, kecil kemungkinan kasus tersebut dapat diselesaikan tanpa pengadilan atau pengakuan bersalah.
Sebagai bagian dari DPA, ketiganya juga sepakat untuk tidak membantah fakta apa pun yang dituduhkan oleh jaksa – yang mungkin merupakan alasan utama mengapa kami belum mendengar langsung dari mereka sejauh ini. TechRadar memahami bahwa Gericke telah disarankan oleh pengacaranya untuk tidak berbicara kepada media tentang masalah ini.
Penjabat Asisten Jaksa Agung Mark J. Lesko untuk Divisi Keamanan Nasional Departemen Kehakiman menggambarkan perjanjian ini sebagai “resolusi jenis pertama”.
Sementara pihak-pihak yang disebutkan dalam DPA tidak mungkin dapat menjelaskan lebih lanjut tentang masalah ini, laporan Reuters sebelumnya mengatakan para operator Raven percaya “misi tersebut diberkati oleh pemerintah AS” karena mereka diberitahu bahwa NSA secara teratur diberi pengarahan dan telah disetujui. proyek. Namun, rilis DoJ menegaskan bahwa orang-orang itu “memilih untuk mengabaikan peringatan” bahwa pekerjaan mereka memerlukan lisensi dari Departemen Luar Negeri AS.
Apa “fakta kunci” yang diketahui ExpressVPN tentang Daniel Gericke?
ExpressVPN mengatakan dalam pernyataan publik pada 15 September bahwa mereka mengetahui “fakta kunci yang berkaitan dengan riwayat pekerjaan Daniel” sebelum mempekerjakannya.
Sebagai tanggapan atas TechRadar Pro pertanyaan, ExpressVPN mengonfirmasi bahwa pada saat perekrutan Daniel Gericke pada Desember 2019, perusahaan mengetahui bahwa Gericke sebelumnya bekerja di CyberPoint dan DarkMatter tetapi tidak mengetahui hubungannya di Project Raven.
CyberPoint adalah kontraktor pertahanan Amerika yang mendapat otorisasi dari pemerintah AS untuk bekerja dengan UEA dalam apa yang digambarkan sebagai misi kontra-terorisme. Ketika Project Raven dipindahkan dari CyberPoint ke DarkMatter, jaksa penuntut mengatakan perusahaan terakhir gagal mendapatkan persetujuan ini.
Mantan operator menjelaskan Proyek Raven kepada Reuters karena telah membantu UEA memecah jaringan ISIS serta menilai risiko serangan teroris. Namun, pelapor Lori Stroud mengatakan dia akhirnya menemukan bahwa “target keamanan nasional” UEA tidak hanya mencakup teroris, tetapi juga pembangkang dan aktivis hak asasi manusia.
Sementara laporan Reuters pada Januari 2019 mengungkapkan keterlibatan DarkMatter dalam Project Raven, ExpressVPN memberi tahu TechRadar bahwa tidak diberitahukan kepada perusahaan pada saat mempekerjakan Gericke bahwa dia terkait dengan Project Raven, yang dirahasiakan.
ExpressVPN mengatakan bahwa pihaknya baru mengetahui hubungan Gericke dengan Project Raven bersama dengan keberadaan DPA dan proses terkaitnya pada 7 September 2021, ketika DoJ menyelesaikan DPA dengan tiga orang yang disebutkan di dalamnya. ExpressVPN juga menegaskan kembali bahwa mereka “tidak memaafkan Proyek Raven”, menggambarkan proyek tersebut sebagai “bertentangan dengan misi kami”, dan bahwa perusahaan “berdiri kokoh di sisi internet yang lebih bebas, aman, dan pribadi”.
Mengapa ExpressVPN mempekerjakan Daniel Gericke? Dan mengapa mereka membelanya bahkan sampai hari ini?
Dalam pernyataan publik yang diterbitkan pada blog ExpressVPN (terbuka di tab baru) pada 16 September, perusahaan menjelaskan dengan menggunakan analogi sepakbola/sepak bola, bahwa, “kiper terbaik adalah yang dilatih oleh striker terbaik”. ExpressVPN menambahkan: “Seseorang yang mendalami dan berpengalaman dalam serangan, seperti Daniel, dapat menawarkan wawasan tentang pertahanan yang sulit, jika bukan tidak mungkin, didapat di tempat lain.”
Memang benar bahwa perusahaan keamanan siber sering mempekerjakan mantan perwira militer dan pakar intelijen. Ini termasuk Kepala Investigasi Cyber di McAfee John Fokker (lihat wawancara mendalam bersamanya), CEO FireEye Kevin MandiaCEO root9B milik Deloitte Eric Hipkins dan banyak lagi.
Banyak perusahaan keamanan siber secara khusus merekrut veteran dan memilikinya program perekrutan khusus untuk mereka. Mereka seringkali memiliki keahlian spesialis yang sulit ditemukan di sektor swasta.
ExpressVPN menyoroti nilai yang dapat dibawa oleh kandidat semacam ini: “Sejak Daniel bergabung dengan kami, dia telah melakukan persis seperti yang kami pekerjakan untuk dia lakukan: Dia secara konsisten dan terus menerus memperkuat dan memperkuat sistem yang memungkinkan kami memberikan privasi dan keamanan bagi jutaan orang.”
Seperti yang telah dilakukan TechRadar di masa lalu, terutama dengan NordVPN (dan pelanggaran datanya yang terkenal) dan IP Vanish (ketika dituduh melakukan logging data), kami meminta ExpressVPN untuk mencatat untuk menjelaskan alasan mereka membela Gericke.
Dalam sebuah pernyataan kepada TechRadar, salah satu pendiri ExpressVPN Dan Pomerantz berkata, “Saya tahu Daniel menyesal bahwa dia tidak dan tidak dapat berbicara secara on-the-record mengenai hal-hal yang tercakup dalam DPA. Tapi saya pikir saya dapat berbicara untuknya bahwa pengalamannya melihat bagaimana alat keamanan siber dapat dikooptasi dan disalahgunakan telah membuatnya sangat percaya pada misi kami untuk melengkapi pengguna internet dengan alat untuk melindungi privasi dan keamanan digital mereka. Dalam dua tahun terakhir, dia telah melangkah lebih jauh dalam mewujudkan misi ini, menerjemahkan keahlian uniknya menjadi peningkatan nyata dalam keamanan bagi pengguna kami. Saya dapat mengatakan tanpa ragu bahwa pengguna ExpressVPN lebih aman hari ini berkat kontribusi Daniel.”
Pernyataan tersebut lebih lanjut menjelaskan: “Faktanya, Daniel telah secara aktif mendorong organisasi kami untuk secara drastis mengurangi risiko ancaman internal. Dia telah bekerja untuk memastikan ExpressVPN diamankan dari bawah ke atas, sehingga semua perubahan pada kode apa pun memerlukan ‘tinjauan empat mata’ dan autentikasi multifaktor. Segala sesuatu mulai dari aturan keamanan kami hingga kode perangkat lunak VPN kami dikelola sedemikian rupa untuk mencegah satu aktor jahat membuat pintu belakang atau membahayakan privasi pengguna kami dengan cara apa pun. Semua produk dan layanan yang kami kembangkan melalui pengujian keamanan multi-orang yang ketat sebelum diterapkan ke pengguna kami.”
Haruskah pengguna ExpressVPN khawatir?
Jawaban singkatnya adalah tidak ada alasan konkret untuk khawatir. Tetapi kami akan mengawasi dengan cermat untuk memastikan ExpressVPN tetap memenuhi komitmen mereka. Dan mengutip salah satu rekan kami yang terhormat, “Percaya, tapi verifikasi”.
Jawaban panjangnya dapat ditemukan di blog ExpressVPN (terbuka di tab baru), yang menjelaskan bagaimana tidak ada satu pun anggota tim internal – termasuk Gericke – yang dapat menyebabkan kerusakan pada sistem dan pengguna mereka karena perlindungan kuat yang mereka miliki. Dua contohnya, menurut posting blog, termasuk teknologi TrustedServer dan sistem verifikasi pembuatan aplikasi.
Kekhawatiran lain yang disuarakan di beberapa forum online adalah apakah Gericke dapat dipaksa oleh FBI untuk menyerahkan kode sumber ExpressVPN atau informasi pengguna untuk permintaan yang tidak terkait – termasuk yang melibatkan pengguna ExpressVPN yang diduga melakukan kejahatan.
ExpressVPN percaya kekhawatiran seperti itu berlebihan: “Kami tidak melihat alasan apa pun FBI akan meminta informasi yang tidak berkaitan dengan penyelidikan DarkMatter, namun DPA secara khusus tidak mengizinkan FBI untuk meminta materi atau dokumen yang tidak berada dalam kepemilikan langsung Daniel. Data mengenai pengguna ExpressVPN berada di bawah yurisdiksi BVI dan bukan milik atau kendali pribadi Daniel. Dalam skenario yang tidak mungkin, FBI berusaha membuat permintaan yang melanggar data ExpressVPN, Daniel dan penasihat hukumnya akan menegaskan batasan DPA dalam menolak permintaan semacam itu dan menolak menyerahkan informasi rahasia perusahaan, ”kata ExpressVPN dalam sebuah pernyataan. Perusahaan menambahkan, “Kami hanya mengumpulkan data minimal yang diperlukan untuk mengoperasikan layanan VPN kami dalam skala besar. Tidak ada yang dapat memiliki akses ke data jika kami tidak mengumpulkannya sejak awal.”
Konon, tidak mungkin mengabaikan tweet dari mantan pegawai NSA Edward Snowden, yang mencuri dan membocorkan jutaan dokumen rahasia pemerintah. Setelah pengumuman DPA, Snowden memperingatkan pengguna untuk berhenti menggunakan ExpressVPN. Kebetulan, Reuters mencatat bahwa Stroud adalah orang yang pertama kali membantu Edward Snowden dipekerjakan di NSA, yang mungkin menjadi alasan mengapa Snowden juga mempertimbangkan ceritanya. Edward Snowden, Lori Stroud, dan Marc Baier (salah satu bagian dari trio yang disebutkan dalam DPA dengan Gericke dari ExpressVPN) semuanya bekerja untuk NSA di Hawaii pada waktu yang bersamaan. Ironisnya, sejarah Snowden bekerja dalam komunitas intelijen AS dan kemudian beralih ke sisi lain bukan tanpa kesamaan dengan Gericke.
Jalur ExpressVPN ke depan
Sulit untuk memutuskan seberapa besar bobot yang harus diberikan pada tindakan seseorang di masa lalu saat meninjau produk dan layanan perusahaannya saat ini. Meskipun jelas bahwa Project Raven bertentangan dengan nilai-nilai layanan VPN, kami merasa bukan tugas kami, di TechRadar, untuk memutuskan apakah seseorang harus dinilai berdasarkan berita lama, atau diberi kesempatan kedua.
Terutama ketika individu yang bersangkutan tampaknya telah membuka lembaran baru beberapa tahun yang lalu. Apa yang kami perjelas adalah bahwa kami belum melihat apa pun yang menunjukkan ExpressVPN terlibat dalam pengawasan atau pencatatan aktivitas.
Ada saran dan anggapan terselubung; tidak ada bukti kesalahan yang jelas, tidak ada mekanisme untuk menjelaskan apa yang mungkin terjadi. Itu terlihat buruk bagi mereka, ya, dan itu penting dalam bisnis berbasis kepercayaan, tetapi itu masih hanya ‘tampilan’.
Kepemimpinan ExpressVPN sangat transparan dalam menanggapi insiden yang meresahkan ini. Mereka baru-baru ini audit dan sumber terbuka dari kode inti Lightway adalah pemeriksaan lain di sisi transparansi dan praktik keamanan yang baik.
Meyakinkan, ExpressVPN juga telah menekankan komitmen mereka untuk audit independen ke depan, seperti yang akan “setiap tahun menyatakan kembali kepatuhan penuh kami terhadap Kebijakan Privasi kami, termasuk kebijakan kami untuk tidak menyimpan log aktivitas atau koneksi apa pun”. Itu adalah sesuatu yang kami, di TechRadar Pro, ingin lihat di seluruh industri VPN
Kami akan terus memantau perkembangan apa pun dari biasanya, dan akan terus mengajukan pertanyaan. Dengan masalah kepercayaan, sangat penting bahwa perusahaan tidak hanya berbicara. Kami akan mengawasi untuk memastikan mereka benar-benar berjalan di jalan.
