Dịch vụ VPN: Có tin xấu về tất cả những đánh giá tốt

Khoảng một phần tư người dùng internet sử dụng mạng riêng ảo, thiết lập phần mềm tạo kết nối dữ liệu được mã hóa an toàn giữa máy tính của họ và một mạng khác ở nơi khác trên internet. Nhiều người sử dụng chúng để bảo vệ sự riêng tư của họ khi sử dụng các điểm truy cập wifi hoặc để kết nối an toàn với mạng nơi làm việc khi đi du lịch. Những người dùng khác lo ngại về sự giám sát từ chính phủ và các nhà cung cấp internet.

Nhiều công ty VPN hứa sẽ sử dụng mã hóa mạnh để bảo mật dữ liệu và nói rằng họ bảo vệ quyền riêng tư của người dùng bằng cách không lưu trữ hồ sơ về nơi mọi người truy cập dịch vụ hoặc những gì họ làm trong khi kết nối. Nếu mọi thứ hoạt động theo đúng nghĩa của nó, một người nào đó rình mò trên máy tính cá nhân sẽ không thấy tất cả hoạt động trên internet của họ - chỉ là một kết nối không thể hiểu được với một máy tính đó.Bất kỳ công ty, chính phủ hoặc tin tặc nào theo dõi lưu lượng truy cập internet nói chung vẫn có thể phát hiện ra một máy tính truyền thông tin nhạy cảm hoặc duyệt Facebook tại văn phòng - nhưng sẽ nghĩ rằng hoạt động đó đang diễn ra trên một máy tính khác với máy tính thực sự đang sử dụng.

Xem thêm: Ngày bảo mật dữ liệu: Kiểm tra cài đặt bảo mật của bạn trên Email, Facebook và Google

Tuy nhiên, hầu hết mọi người - bao gồm cả khách hàng VPN - không có kỹ năng kiểm tra kỹ xem họ có nhận được những gì họ đã trả không. Một nhóm các nhà nghiên cứu mà tôi tham gia có những kỹ năng đó và việc kiểm tra các dịch vụ được cung cấp bởi 200 công ty VPN đã phát hiện ra rằng nhiều người trong số họ đánh lừa khách hàng về các khía cạnh chính của việc bảo vệ người dùng của họ.

Người tiêu dùng đang ở trong bóng tối

Nghiên cứu của chúng tôi cho thấy rất khó để khách hàng VPN có được thông tin không thiên vị. Nhiều nhà cung cấp VPN trả tiền cho các trang web và blog đánh giá của bên thứ ba để quảng bá dịch vụ của họ bằng cách viết các đánh giá tích cực và xếp hạng chúng cao trong các cuộc khảo sát trong ngành. Số tiền này cho quảng cáo cho những người đang cân nhắc mua dịch vụ VPN thay vì đánh giá độc lập và không thiên vị. Chúng tôi đã nghiên cứu 26 trang web đánh giá; 24 người trong số họ đã nhận được một số hình thức thanh toán lại cho các đánh giá tích cực.

Một ví dụ điển hình là một trang web liệt kê hàng trăm công ty VPN đã đánh giá hơn 90 phần trăm trong số họ là 4 trên 5 hoặc cao hơn. Điều này không phải là bất hợp pháp, nhưng nó làm lệch các đánh giá có thể độc lập. Điều này cũng khiến việc cạnh tranh trở nên khó khăn hơn nhiều đối với các nhà cung cấp VPN mới hơn và nhỏ hơn có thể có dịch vụ tốt hơn nhưng ngân sách thấp hơn để chi trả cho việc công khai tốt.

Mơ hồ về quyền riêng tư dữ liệu

Chúng tôi cũng đã học được rằng các công ty VPN không nên luôn luôn bảo vệ dữ liệu của người dùng, mặc dù quảng cáo mà họ làm. Trong số 200 công ty chúng tôi đã xem xét, 50 công ty không có chính sách quyền riêng tư được đăng trực tuyến - bất chấp luật pháp yêu cầu họ làm như vậy.

Các công ty đã đăng các chính sách quyền riêng tư rất đa dạng trong các mô tả về cách họ xử lý dữ liệu của người dùng. Một số chính sách ngắn tới 75 từ, khác xa so với tiêu chuẩn tài liệu pháp lý nhiều trang trên các trang web truyền thông xã hội và ngân hàng. Những người khác đã không chính thức xác nhận những gì quảng cáo của họ đề xuất, rời khỏi phòng để theo dõi người dùng ngay cả sau khi hứa sẽ không.

Rò rỉ hoặc giám sát giao thông

Phần lớn bảo mật của VPN phụ thuộc vào việc đảm bảo rằng tất cả lưu lượng truy cập Internet của người dùng đều đi qua kết nối được mã hóa giữa máy tính của người dùng và máy chủ VPN. Nhưng phần mềm được viết bởi con người, và con người mắc lỗi. Khi chúng tôi kiểm tra 61 hệ thống VPN, chúng tôi đã tìm thấy lỗi lập trình và cấu hình ở 13 trong số chúng cho phép lưu lượng truy cập internet đi ra ngoài kết nối được mã hóa - đánh bại mục đích sử dụng VPN và khiến người dùng hoạt động trực tuyến bị phơi bày trước các gián điệp và quan sát viên bên ngoài.

Ngoài ra, vì các công ty VPN có thể, nếu họ chọn, giám sát tất cả hoạt động trực tuyến mà người dùng của họ tham gia, chúng tôi đã kiểm tra xem liệu có ai đang làm điều đó không. Chúng tôi đã tìm thấy sáu trong số 200 dịch vụ VPN mà chúng tôi nghiên cứu thực sự đã tự giám sát lưu lượng truy cập của người dùng. Điều này khác với rò rỉ tình cờ, vì nó liên quan đến việc chủ động xem xét hoạt động của người dùng - và có thể giữ lại dữ liệu về những gì người dùng đang làm.

Được khuyến khích bởi các quảng cáo tập trung vào quyền riêng tư, người dùng tin tưởng các công ty này không làm điều này và không chia sẻ những gì họ tìm thấy với các nhà môi giới dữ liệu, công ty quảng cáo và cảnh sát hoặc các cơ quan chính phủ khác. Tuy nhiên, sáu công ty VPN này cam kết hợp pháp bảo vệ người dùng, bất kể lời hứa của họ là gì.

Nói dối về địa điểm

Một điểm bán hàng khổng lồ cho nhiều VPN là họ tuyên bố cho phép khách hàng kết nối với internet như thể họ đang ở các quốc gia khác ngoài nơi họ thực sự ở. Một số người dùng làm điều này để tránh các hạn chế về bản quyền, bất hợp pháp hoặc gần như hợp pháp, như xem các chương trình Netflix của Hoa Kỳ khi đi nghỉ ở Châu Âu. Những người khác làm điều này để tránh kiểm duyệt hoặc các quy tắc quốc gia khác điều chỉnh các hoạt động internet.

Tuy nhiên, chúng tôi thấy rằng những tuyên bố về sự hiện diện quốc tế luôn luôn đúng. Sự nghi ngờ của chúng tôi lần đầu tiên được đặt ra khi chúng tôi thấy VPN tuyên bố cho phép mọi người sử dụng internet như thể họ ở Iran, Bắc Triều Tiên và các lãnh thổ đảo nhỏ hơn như Barbados, Bermuda và Cape Verde - những nơi rất khó truy cập internet, nếu không phải là không thể đối với các công ty nước ngoài

Khi chúng tôi điều tra, chúng tôi đã tìm thấy một số VPN tuyên bố có số lượng lớn kết nối internet đa dạng thực sự chỉ có một vài máy chủ được nhóm ở một vài quốc gia. Nghiên cứu của chúng tôi cho thấy họ thao túng các hồ sơ định tuyến internet để họ dường như cung cấp dịch vụ ở các địa điểm khác. Chúng tôi đã tìm thấy ít nhất sáu dịch vụ VPN yêu cầu định tuyến lưu lượng truy cập của họ qua một quốc gia nhưng thực sự truyền tải thông qua một quốc gia khác. Tùy thuộc vào hoạt động của người dùng và luật pháp của đất nước, điều này có thể là bất hợp pháp hoặc thậm chí đe dọa đến tính mạng - nhưng ít nhất, nó đã gây hiểu lầm.

Nguyên tắc cho người dùng VPN

Những khách hàng có đầu óc kỹ thuật vẫn quan tâm đến VPN có thể xem xét việc thiết lập máy chủ của riêng họ, bằng cách sử dụng dịch vụ điện toán đám mây hoặc kết nối internet tại nhà của họ. Những người có một chút thoải mái về kỹ thuật có thể cân nhắc sử dụng trình duyệt Tor, một mạng lưới các máy tính được kết nối internet giúp bảo vệ quyền riêng tư của người dùng.

Những phương pháp đó là khó khăn và có thể chậm. Khi chọn dịch vụ VPN thương mại, lời khuyên tốt nhất của chúng tôi, được nghiên cứu của chúng tôi thông báo, là đọc kỹ chính sách bảo mật của trang web và mua các đăng ký ngắn, có thể theo từng tháng thay vì dài hơn, vì vậy sẽ dễ dàng chuyển đổi hơn nếu bạn tìm thấy thứ gì đó tốt hơn.

Bài viết này ban đầu được xuất bản trên Cuộc trò chuyện của Mohammed Taha Khan và Narseo Vallina-Rodriguez. Đọc văn bản gôc ở đây.