Manfaat menggunakan layanan VPN untuk melindungi privasi Anda sudah jelas: ISP dan pihak lain tidak dapat memata-matai aktivitas online Anda. Yang tidak selalu jelas adalah layanan VPN mana yang dapat dipercya.
VPN, atau virtual private network, adalah perangkat lunak yang menciptakan koneksi aman antara perangkat Anda dan internet dengan mengarahkan lalu lintas internet Anda melalui terowongan terenkripsi ke server jarak jauh. Pada dasarnya, VPN menyamarkan alamat IP Anda dan membantu menjaga beberapa aktivitas penelusuran Anda tetap pribadi. Baru-baru ini, tiga peneliti universitas menemukan bahwa 18 VPN yang paling banyak digunakan di Google Play store memiliki infrastruktur bersama dengan cacat keamanan serius yang dapat mengekspos aktivitas penelusuran pelanggan dan membuatnya rentan terhadap dekripsi. VPN-VPN ini termasuk dalam 100 terpopuler di Google Play Store, dengan total lebih dari 700 juta unduhan.
Studi peer-review oleh Privacy Enhancing Technologies Symposium menemukan bahwa VPN-VPN ini, meskipun menyebut diri mereka sebagai bisnis independen, sebenarnya dikelompokkan ke dalam tiga keluarga perusahaan yang terpisah.
Tidak satu pun VPN rekomendasi CNET — ExpressVPN, NordVPN, Surfshark, Proton VPN, dan Mullvad — ada dalam daftar tersebut.
Menurut temuan, inilah tiga grup yang berisi 18 VPN tersebut:
Keluarga A: Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Robot VPN, Snap VPN, dan SuperNet VPN.
Keluarga B: Global VPN, Inf VPN, Melon VPN, Super Z VPN, Touch VPN, VPN ProMaster, XY VPN, dan 3X VPN.
Keluarga C: X-VPN dan Fast Potato VPN.
Para peneliti menentukan bahwa VPN dalam Keluarga A dibagi antara tiga penyedia yang terkait dengan Qihoo 360, sebuah firma yang diidentifikasi oleh Departemen Pertahanan AS sebagai perusahaan militer Tiongkok. VPN dalam Keluarga B menggunakan alamat IP yang sama dari perusahaan hosting yang sama.
Kenali Perusahaan Induk VPN Anda
Ini adalah cerita peringatan tentang mengapa penting untuk mengetahui siapa yang berada di balik VPN yang Anda gunakan, kata penulis senior CNET Attila Tomaschek.
“Hal ini juga sangat penting untuk mengetahui jenis data apa yang dibagikan oleh penyedia VPN dengan perusahaan induk dan entitas afiliasinya,” kata Tomaschek. “Beberapa perusahaan ini bahkan mungkin diwajibkan untuk mencatat aktivitas pelanggan dan membagikannya dengan pihak berwenang, tergantung pada yurisdiksi tempat mereka beroperasi.”
Ashwin Vamshi, Kepala Penelitian & Teknik Deteksi untuk Cyble, mengatakan banyak dari VPN-VPN yang mencurigakan ini sebenarnya menghasilkan keuntungan dari data pelanggan. “Dipasarkan sebagai ‘gratis’ dan menjanjikan ‘anonimitas total,’ banyak dari layanan ini menghasilkan pendapatan dengan mengumpulkan, mencatat, dan menjual data pengguna,” katanya kepada CNET. “Dalam sebagian besar kasus ini, data konsumen menjadi aliran pendapatan produk yang menempatkan privasi dan keamanan pada risiko yang signifikan.”
Terlepas dari peringatan tersebut, Tomaschek mengatakan tidak mudah untuk mengetahui siapa yang mengendalikan VPN Anda. Tetapi dia mengatakan ada langkah-langkah yang dapat diambil pelanggan.
“Pengguna dapat melakukan beberapa hal untuk membantu memastikan VPN yang mereka gunakan terpercaya,” kata Tomaschek. “Periksa kebijakan privasi — khususnya untuk istilah seperti ‘pencatatan,’ ‘berbagi data’ atau ‘pengumpulan data.’ Penelusuran Google tentang penyedia dapat membantu menentukan apakah VPN terlibat dalam aktivitas yang dipertanyakan. Baca ulasan mendetail dan tidak bias dari sumber terpercaya. Berhati-hatilah terutama saat mendaftar dengan VPN gratis, bahkan jika itu terdaftar sebagai pilihan teratas di toko aplikasi Anda.”
Vamshi mengatakan individu dan bisnis perlu waspada terhadap VPN yang tidak memiliki “audit independen, kebijakan privasi dan transparansi.” Dia merekomendasikan sebagai gantinya:
Penyedia VPN berbayar dan terpercaya yang menerapkan komitmen ketat untuk tidak mencatat dan menjalani tinjauan kepatuhan secara berkala.
Solusi Zero Trust / SASE yang memberikan akses yang aman dan digerakkan oleh identitas.
Para peneliti PETS memeriksa VPN yang paling banyak diunduh di Android, mencari tumpang tindih di antara dokumen bisnis, kehadiran web, dan basis kode. Setelah mengidentifikasi kesamaan kode, mereka dapat mengelompokkan 18 VPN ke dalam tiga grup. Studi ini awalnya didorong oleh temuan VPN Pro sendiri, “Siapa pemilik VPN Anda? 105 VPN dijalankan oleh hanya 24 perusahaan.”
Tomaschek dari CNET memiliki nasihat untuk siapa pun yang telah menggunakan salah satu dari 18 VPN ini.
“Saya akan merekomendasikan untuk menghapusnya dari perangkat Anda segera,” katanya. “Jika Anda mencurigai bahwa data pribadi sensitif mungkin telah dikompromikan, ide yang baik untuk memantau laporan kredit Anda dan mempertimbangkan layanan seperti pemantauan web gelap atau perlindungan dari pencurian identitas.”