Berdasarkan postingan di X dari perusahaan VPN tersebut pada hari Jumat, otoritas Belanda baru-baru ini menyita salah satu server VPN Windscribe.
Postingan itu tidak menyertakan indikasi apapun mengenai alasan di balik penyitaan tersebut, hanya menyebutkan bahwa penyitaan dilaksanakan tanpa surat perintah dan bahwa otoritas berjanji akan mengembalikan server setelah “dianalisis secara menyeluruh.” Meski insiden ini tampak serius pada pandangan pertama, Windscribe meyakinkan publik bahwa otoritas tidak akan menemukan data berguna di server yang dapat membahayakan privasi penggunanya.
Hal ini dikarenakan semua server Windscribe beroperasi hanya dengan RAM, sehingga “satu-satunya yang akan ditemukan otoritas hanyalah instalasi Ubuntu standar,” sebagaimana dinyatakan perusahaan di X.
CEO Windscribe, Yegor Sak, menyampaikan kepada CNET via email bahwa otoritas menyita server tanpa penjelasan lebih lanjut selain keinginan untuk mengaitkannya dengan penyelidikan yang aktif. Ia menduga kemungkinan mereka ingin melakukan RAM dump untuk menangkap memori server.
“Namun, sekalipun itu berhasil, tidak ada data pengguna yang terancam, karena tidak terdapat data pengguna atau catatan koneksi aktif dalam memori server setelah kabel jaringan dicabut (yang memang sudah dilakukan),” jelas Sak.
Server RAM-only berjalan pada memori volatil, yang berarti data tidak disimpan ke disk keras dan akan terhapus sepenuhnya saat server dimatikan atau direboot. Oleh karena itu, seharusnya tidak ada yang bisa diekstrak oleh otoritas Belanda dari analisis terhadap server yang disita itu. Inilah alasan mengapa kami selalu mencari VPN yang memiliki infrastruktur server RAM-only atau yang menggunakan enkripsi disk penuh pada servernya untuk memastikan privasi pengguna terlindungi dengan baik jika terjadi penyitaan server.
Selain itu, kebijakan privasi Windscribe menegaskan bahwa perusahaan tidak menyimpan log alamat IP asal pengguna, riwayat sesi VPN, atau apapun terkait situs yang dikunjungi saat terhubung ke server mereka. Tanpa log ini, tidak akan ada data berguna di server yang dapat dikumpulkan oleh otoritas.
Namun, klaim tanpa log mustahil untuk diverifikasi dengan kepastian mutlak. Oleh sebab itu, kami juga menyoroti pentingnya audit pihak ketiga secara berkala dalam mengevaluasi VPN dan perlindungan privasinya. Meskipun audit pihak ketiga tidak selalu sempurna dan tidak memberikan gambaran lengkap, hal itu merupakan sinyal kepercayaan penting yang dapat memperkuat klaim sebuah VPN, terutama jika dilakukan secara rutin.
Windscribe telah diaudit secara rutin sejak 2021, dengan audit terbaru yang diterbitkan pada musim panas 2024, yang memeriksa infrastruktur VPN FreshScribe perusahaan.
Audit rutin dapat menjadi bukti kuat untuk privasi sebuah VPN, namun kasus hukum di dunia nyata bisa dibilang memberikan bukti yang lebih kuat karena waktunya tidak dapat dipersiapkan oleh perusahaan VPN. Windscribe menghadapi kasus seperti itu pada 2023, ketika otoritas Yunani mendakwa Sak dengan “akses ilegal ke sistem informasi” setelah seorang pengguna menyalahgunakan server Windscribe untuk membobol situs web Yunani dan mengirim email spam. Namun, kasus tersebut akhirnya dibatalkan setelah perjuangan hukum panjang, karena Windscribe membuktikan bahwa mereka tidak memiliki data berguna untuk diserahkan kepada otoritas Yunani saat itu.
“Akan jauh lebih cepat (dan murah) untuk sekadar menyerahkan log guna mengidentifikasi pelaku sebenarnya di balik kejahatan yang dituduhkan,” tulis Sak dalam postingan blog. “Namun, Anda tidak bisa menyerahkan sesuatu yang tidak Anda miliki.”
“Kami menerima sejumlah permintaan dari penegak hukum setiap bulannya. Dan setiap kali kami katakan bahwa kami tidak memiliki log,” tulis Windscribe di X menanggapi insiden terbaru dengan otoritas Belanda. “Kali ini mereka tidak bertanya, mereka langsung mengambil server dari rak untuk mencari log sendiri.”
Windscribe mencatat jumlah permintaan hukum yang mereka terima secara real-time dalam laporan transparansi mereka. Laporan tersebut menyatakan bahwa “permintaan yang dipenuhi berjumlah nol karena tidak tersedianya data yang relevan.”