Nyhetene kom som en bombe for de som opererer i VPN-bransjen, som i sammenligning med andre som web hosting, virker mer som en hytte en hvor alle er kjent med alle andre.

For 10 dager siden skrev Reddit-brukeren 8obhex en eksplosiv melding om et kriminelt klage dokument (PDF) som viste at Highwinds Network Group, nå eid av StackPath, og selskapet bak den populære IPVanish VPN, holdt logger til tross for deres no- loggingspolitikk.

Det som fulgte var en strøm av kommentarer som plutselig endte da 8obhex-kontoen og ni relaterte kommentarer ble slettet. Den etterfølgende raseri forårsaket av opplysningen tvunget Lance Crosby, konsernsjef for selskapet, å lage en offisiell uttalelse på Reddit.

Techradar Pro nærmet seg StackPath med ni spørsmål, hvorav åtte ble besvart av Jeremy Palmer, VP, Product and Marketing hos selskapet.

1. Rettregister som nylig ble publisert på Reddit (IPVanish_Summons.png) antyder at IPVanish i 2016 reagerte på innkalling ved å overlevere informasjon om brukerens aktiviteter, inkludert tilkoblingstider, muligens bruk av spesifikke protokoller og frakoblingstider. Er de registrert et komplett og nøyaktig sammendrag av hva som skjedde, eller er det ytterligere bakgrunnsinformasjon du kan gi?

Fordi dette skjedde før StackPaths oppkjøp av Highwinds Network Group, har vi ingen ytterligere detaljer om denne saken. Den tidligere juridiske og ledergruppen er langt borte. Det ville være umulig for meg å spekulere på hva som kunne ha skjedd.

2. IPVanish har hevdet å ha en streng “ingen logging” politikk i mange år. Rettens svar tyder på at dette var usant. Hvilken informasjon ble registrert av tjenesten i 2016? Hvis du er usikker på hva forrige ledelse gjorde, hvilke tiltak har du tatt for å finne ut?

StackPath utførte due diligence og en uavhengig revisjon før oppkjøpet. Det var ingen oversikt over hvilke logger som ble lagret. Vi har gjort en intern revisjon for å sikre at vår nåværende policy er i samsvar med vår praksis. Som vår administrerende direktør Lance Crosby sa - "IPVanish har ikke noe unntak, ikke, og vil ikke logge eller lagre logger fra brukerne som StackPath-selskap."

3. IPVanish har mye den samme personvernpolitikken i dag som den alltid har. Når dette ikke ser ut til å ha vært sant bare for to år siden, hvorfor bør potensielle kunder tro på disse nullloggingskravene nå?

Det er et helt annet selskap, med et nytt utøvende og juridisk team. Sikkerhet og personvern er vårt kjerneoppdrag. Vi har investert tungt i det nye teamet og infrastrukturen for å sikre at kundenes personvern alltid er viktig.

4. Rettdokumentene tyder på at IPVanish i 2016 ville overlevere dokumenter nesten like snart de ble bedt om det. Hva er din nåværende policy for å svare på anmodninger om rettshåndhevelse, stævning eller rettsordre?

Disse rettsdokumenter kom ikke i omhu. Vi hørte først detaljene i denne saken da historien brøt på Reddit.

Jeremy Palmer, StackPath

Vårt juridiske team vil verifisere legitimiteten og jurisdiksjonen til henvendelsen. Vår respons på disse henvendelsene er ganske enkelt at vi ikke har noen informasjon å gi, noe som er helt sant.

5. Hvis du først lærte om denne hendelsen fra rapporten om Reddit, hvordan kan du komme rett ut og si at IPVanish ikke logger lenger? Ville du ikke ha hatt å gjøre en fullstendig gjennomgang først?

Før denne historien hadde vi tilbrakt flere måneder for å forberede EUs GDPR-lovgivning. Vi gjennomførte omfattende revisjoner av våre systemer og prosesser i løpet av denne tiden. Vi har også oppdatert vår personvernpolicy for å være lettere å forstå og mer gjennomsiktig.

6. Har du gjennomgått due diligence prosessen i slutten av 2016, tidlig 2017 avdekke rettsdokumentene fra 2016? I hvilket øyeblikk oppdaget du disse dokumentene fra 2016?

Disse rettsdokumenter kom ikke i omhu. Vi hørte først detaljene i denne saken da historien brøt på Reddit.

7. Hvis du fant ut før Reddit-rapporten, hvorfor avslørte du ikke denne informasjonen offentlig, da hendelsen var i direkte motsetning til IPVanishs lange stilling “ingen logger” Politikk.

Se svar ovenfor

8. Du børstet av rapporten ved å si at den ikke var under klokken din. Men siden Highwinds-teamet kom med oppkjøpet, er det ingen ingeniører som kan svare på hva som nettopp skjedde?

StackPath kjøpte ikke hele Highwinds engineering team. Nåværende team har ingen ytterligere detaljer om saken.

9. Hva gjør StackPath i dag for å beskytte mot risikoen for serverbeslag og loggdata som vises (selv utilsiktet) på harddisk eller systemminne?

Vi har mange lag med fysisk og digital sikkerhet for VPN-tjenesten. Alle trafikkdata som passerer gjennom vårt nettverk, er kryptert og ulestelig av noen, inkludert oss.