Minggu lalu, penyelidikan kami mengungkapkan hal itu lebih dari tiga perempat VPN Android gagal dalam uji transparansi dasar. Penelitian ini menimbulkan keraguan serius mengenai aplikasi mana yang benar-benar dapat Anda percayai.
Minggu ini, saya berbicara dengan penyedia VPN terkemuka tentang bagaimana Anda bisa tetap aman saat online dan apa yang dilakukan industri ini untuk membersihkan reputasinya.
Aaron Engel, Kepala Petugas Keamanan Informasi di VPN Ekspresmengatakan “industri harus terus meningkatkan standar transparansi.” Namun dengan standar VPN Android yang ditetapkan sangat rendah, seperti apa praktiknya?
Pentingnya transparansi
Engel mengatakan “transparansi harus menjadi faktor kunci ketika memilih VPN” dan menyoroti pentingnya audit, kebijakan privasi yang dapat diakses, dan kepemilikan perusahaan yang jelas. Jika digabungkan, hal ini memberikan “indikator penting apakah penyedia berkomitmen untuk melindungi privasi pengguna,” bantah Engel.
“Transparansi harus didukung oleh tindakan yang dapat diverifikasi.”
ExpressVPN telah melakukan hal ini dengan audit pihak ketiga — tepatnya 23 audit di antaranya — serta investasi yang signifikan pada kemampuan keamanannya.
Yang paling menonjol, teknologi TrustedServer menggunakan infrastruktur server khusus RAM untuk memastikan seluruh sistem operasi dan VPN diinstal ulang setiap kali reboot, memastikan tidak ada data yang ditulis ke drive fisik.
Seperti ExpressVPN, hiu selancar mengutamakan kejelasan. Justas Pukys, Manajer Produk VPN di Surfshark, mengatakan komitmen ini mencakup segalanya mulai dari dukungan pelanggan 24/7 hingga sumber daya online yang “jelas dan dapat diakses”.
Apa lagi yang bisa dilakukan penyedia layanan?
“VPN dipercayakan dengan data pengguna yang paling sensitif, dan seperti yang terungkap dalam penyelidikan ini, sebagian besar pasar tidak mampu menangani tanggung jawab tersebut” jelas Marijus Briedis, CTO dari NordVPN.
Jadi, apa lagi yang bisa dilakukan industri ini? Pukys, dari Surfshark, percaya bahwa “penyedia VPN perlu menunjukkan kepercayaan dengan cara lain”
Bagi Surfshark, hal ini mencakup segala hal mulai dari audit independen rutin — meskipun jumlahnya lebih sedikit dibandingkan dengan ExpressVPN yang berjumlah 23 audit — hingga laporan transparansi dan pembaruan aplikasi secara berkala untuk memenuhi persyaratan platform yang terus berkembang.
Surfshark juga secara rutin menerbitkan penelitian tentang topik-topik seperti privasi digital, kesejahteraan online, dan pelanggaran data global. Meskipun penelitian bukan merupakan “indikator kepercayaan” teknis langsung, kemungkinan besar penyedia yang berinvestasi besar-besaran dalam mempelajari dampak privasi di dunia nyata benar-benar berkomitmen untuk mempertahankannya.
Penyedia VPN perlu menunjukkan kepercayaan dengan cara lain”
Justas Pukys, Manajer Produk VPN di Surfshark
Audit independen adalah indikator utama dari VPN yang dapat dipercaya. Biasanya dibuat tersedia untuk umum, laporan-laporan ini menguraikan segala kekhawatiran atau kerentanan yang ditemukan oleh auditor pihak ketiga.
Namun, karena laporan ini penuh dengan jargon teknis, laporan transparansi dan kebijakan tanpa pencatatan dapat menjadi titik awal yang lebih mudah diakses. Keduanya menggunakan bahasa yang lebih jelas untuk menunjukkan cara data Anda ditangani.
Jika Anda sendiri ingin mendalami audit independen, ada dua bagian yang layak Anda fokuskan. Pertama, cari ringkasan eksekutif atau pendahuluan. Hal ini biasanya memberikan gambaran singkat mengenai temuan, termasuk jumlah permasalahan yang teridentifikasi.
Tentu saja, semakin sedikit masalah yang ada, semakin baik dan idealnya, laporan tersebut tidak akan menemukan ‘kerentanan kritis’. Kedua, pastikan untuk memeriksa bagian “Cakupan”. Hal ini menentukan batasan audit – jika cakupannya terlalu sempit, kerentanan yang signifikan mungkin terabaikan.
Indikator kuat lainnya mengenai niat penyedia adalah keanggotaan dalam VPN Trust Initiative (VTI). VTI mencakup pemain-pemain besar seperti NordVPN, Surfshark, ExpressVPN, dan IPVanish, dan berfokus pada “meningkatkan privasi, keamanan, dan kebebasan online melalui standar yang jelas dan praktik tepercaya.”
Keanggotaan menunjukkan bahwa penyedia ini berkomitmen terhadap serangkaian prinsip industri bersama, menerapkan standar privasi ini langsung ke perangkat lunak dan infrastruktur mereka.
Hal ini tidak berarti bahwa VPN di luar VTI tidak dapat dipercaya. Penyedia terkemuka seperti Proton VPN, Mullvad, dan Windscribe belum bergabung, namun mereka secara konsisten menunjukkan praktik ketat dan mengutamakan privasi seperti yang dianjurkan oleh VTI.
Apa yang harus diwaspadai oleh pengguna VPN?
Namun, seperti yang terungkap dalam penyelidikan kami baru-baru ini terhadap Google Play Store, standar tinggi ini merupakan pengecualian dan bukan aturan.
Menanggapi temuan ini, Pukys mengatakan “ekosistem Android secara umum lebih terbuka” dibandingkan ekosistem lainnya. Meskipun hal ini memudahkan pengembang baru untuk mengakses platform unduhan utama, hal ini juga berarti perhatian lebih harus diberikan pada “bagaimana penyedia VPN mengomunikasikan praktik data dan komitmen privasi mereka.”
Saat mempertimbangkan VPN Android, David Peterson, GM Proton VPN, menjelaskan, Anda harus:
- “Periksa bagian keamanan data di listingan toko mereka” untuk memastikan Anda merasa nyaman dengan informasi yang dikumpulkan dan dibagikan kepada pihak ketiga
- “Kunjungi situs web resmi merek tersebut dan baca kebijakan privasi mereka.”
- “Unduh VPN mereka hanya dari tautan yang mereka sediakan secara jelas”, biasanya ditemukan di situs web penyedia atau melalui tautan toko aplikasi resmi.
Bagi Briedis, ada cakupan langkah-langkah masuk akal yang lebih luas yang perlu dipertimbangkan:
“Investasikan waktu untuk meneliti penyedia mereka. Carilah kebijakan privasi yang jelas dan dapat diakses, situs web profesional, dan saluran dukungan pelanggan khusus.”
…penting untuk memilih layanan yang membuktikan komitmennya terhadap privasi pengguna”
Marijus Briedis, CTO NordVPN
Penelitian kami juga menunjukkan betapa tidak responsifnya dukungan pelanggan saat menggunakan VPN Android yang tidak dapat dipercaya. Mengetahui bahwa Anda bisa mendapatkan bantuan sangatlah penting. jika Anda tidak yakin, coba hubungi tim dukungan penyedia dengan pertanyaan sebelum mendaftar. Respons yang cepat adalah pertanda baik.
Seperti yang dikatakan Briedis: “Memilih VPN adalah keputusan penting untuk keamanan digital seseorang, dan penting untuk memilih layanan yang membuktikan komitmennya terhadap privasi dan transparansi pengguna.”
Jadi, lakukan riset Anda. Jangan tertipu dengan VPN pertama yang Anda lihat, dan pastikan untuk memeriksa apa pun jika Anda tidak yakin.
