V práci používáme SurfShark denně a to nejen pro vzdálený přístup, ale i kvůli různých testování služeb, zabezpečení ve veřejných wifi sitích a správě obsahu napříč několika zařízeními a lokalitami. Právě z tohoto důvodu jsem s velkým zájmem sledoval, jak dopadne audit infrastruktury Surfsharku, který byl oznámen už koncem loňského roku.
Můj článek je určený nejen těm z vás, kdo Surfshark už používáte, ale i těm, kdo o SurfSharku teprve uvažujete, protože tenhle audit není jen „další PRko“. Jedná se o reálný bezpečnostní test, který ukázal, že firma bere ochranu dat extrémně vážně.
Kdo testoval SurfShark? Nezávislý tým z Polska SecuRing
Audit provedla firma SecuRing, zavedený tým z Krakova, který se na penetrační testy a bezpečnostní audity specializuje od roku 2003. Testovali infrastrukturu bank, fintechů, zdravotnických systémů i softwarových platforem po celé Evropě. Ve 2025 mimo jiné získali titul CYSSDE Grand Winner a od roku 2023 jsou i na seznamu nejlepších bezpečnostních firem na Clutch.co.
Co je na tom nejdůležitější? Nejde o žádný přátelský nebo interní audit. SecuRing je externí firma, nezávislá na Surfsharku, a testy provedla zcela bez přístupových práv, bez zákulisních informací. Žádný white-box. Šlo o tzv. grey-box testy, tedy takové, jaké by zvládl provést reálný útočník se znalostí uživatelského rozhraní a běžných možností.
Jak testy probíhaly? Nešlo o teoretické „kliky na webu“
Testování probíhalo mezi 1. a 10. prosincem 2025. Všechny testy byly navržené tak, aby simulovaly reálné scénáře útoků:
🔍 OSINT (Open Source Intelligence)
Hledání veřejně dostupných informací např. DNS záznamy, subdomény, certifikační logy nebo veřejné hostingy typu Pastebin či GitHub, kde se často objeví uniklá data nebo přístupové klíče.
🛠 Skenování portů a služeb (TCP/UDP)
Klasická technika mapování služeb a portů, kterou útočníci používají jako první krok k identifikaci slabin – zjišťuje se, co je na síti aktivní, jak reaguje server a jaké protokoly běží.
🌐 Rekognoskace sítě a DNS
Zjišťování IP adres, routing, DNS reverzní záznamy a vlastnictví subnetů podle databáze ARIN WHOIS – umožňuje pochopit topologii sítě a případné slepá místa.
🧭 Fingerprinting technologií
Sběr hlaviček, odezev a pokusy identifikovat software a služby (např. verze webserveru, proxy řešení, WAF – Web Application Firewall).
🔐 Testování SSL/TLS
Kontrola všech nabízených protokolů, cipher suitů, reakce systému na pokusy o připojení bez šifrování, přítomnost HSTS nebo TLS fallback mechanizmů.
💥 Brute-force a přístupová místa
Hledání nezabezpečených adresářů, souborů, otevřených cloudových linků nebo přesměrování, která by šlo zneužít pro phishing nebo neautorizovaný přístup.
A výsledek auditu?
Tady jsou ty nejdůležitější body z oficiální zprávy SecuRingu:
- Nebyla nalezena žádná kritická zranitelnost
- Nebyla nalezena žádná vysoce riziková slabina
- Testovaná infrastruktura odolala všem simulovaným útokům
Jediný technický nedostatek, který se objevil, byl:
F1: Nevyhovující konfigurace SSL/TLS (střední riziko)
Test ukázal, že v některých případech bylo možné vyjednat šifrovací algoritmy nižší bezpečnostní úrovně. Podle SecuRingu šlo o teoretickou slabinu, která nevedla k ohrožení dat ani přístupu k systému, ale mohla v určitých podmínkách umožnit snížení síly šifrování.
Surfshark zareagoval okamžitě a slabina byla odstraněna bezprostředně po testu. Následně bylo šifrování nastavení a upraveno podle doporučení Mozilla SSL Configuration Guide.
Doporučení navíc: přesměrování a validace URL
Ve zprávě je i jedno „soft“ doporučení bez přímého rizika: Omezení přesměrování na specifické domény. Tým zjistil, že systém umožňoval přesměrovat uživatele na jakékoli URL, což by mohlo být potenciálně zneužitelné při phishingových útocích. Doporučení zní: validovat přesměrovací parametry a omezit je na interní adresy.
Co tedy z posledního auditu pro SurfShark vyplívá?
Pokud Surfshark už používáte (jako my) máte další důvod cítit se v klidu. A pokud o něm teprve přemýšlíte, tenhle audit je pro vás důležitý signál.
- Firma si nechala dobrovolně zpracovat audit od odborníků
- Publikovala celý výsledek otevřeně a bez nějakých lží
- Přiznala a opravila i drobný technický nedostatek
- Získala tak veřejný důkaz o tom, že bezpečnost není v případě SurfSharku jen slovo či marketingový slogan!
Výsledky testů pro technicky založené čtenáře
| Oblast testu | Výsledek |
|---|---|
| Kritické chyby | ✅ Nenalezeny |
| Vysoce rizikové chyby | ✅ Nenalezeny |
| SSL/TLS konfigurace | ⚠️ Zlepšení provedeno |
| Přístup bez oprávnění | ✅ Zablokován |
| Sken portů a síťových služeb | ✅ Bezpečná odezva |
| URL přesměrování | 🟡 Doporučení k validaci |
Na konec
Ne každá VPNka si nechá otevřeně zkontrolovat vnitřnosti a ještě o tom napíše veřejnou zprávu. Surfshark to udělal a to se mě na tom fakt líbí. Nejde jen o to, že prošli. Ale jak tím prošli. A to je v dnešní době něco, co si zaslouží respekt!
Pokud si chcete celou zprávu přečíst, tak si níže můžete stáhnout celý report.
Související : Surfshark spouští 2 nové funkce: Multi IP a Rotátor IP adres, Jak blokovat reklamy na iPhone? Surfshark blokátor CleanWeb je pecka!, 100Gbps VPN servery jsou tady. Surfshark to rozjel ve velkém, Surfshark Antivirus recenze: Stojí za to? Obsahuje i VPN
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
