5 Alasan Mengapa VPN Gratis Berbahaya — Data Anda adalah Produk

Ringkasan Utama

• Banyak aplikasi VPN gratis mengumpulkan dan menjual data pengguna untuk menghasilkan pendapatan, sehingga alat perlindungan privasi dapat berubah menjadi alat pengawasan.
• Penelitian CSIRO (Badan Penelitian Ilmiah dan Industri Australia) tahun 2016 menunjukkan bahwa 38% dari aplikasi VPN gratis yang dianalisis mengandung malware, dan 84% mengungkapkan lalu lintas pengguna.
• Jika Anda menginginkan privasi online yang lengkap, memilih layanan VPN berbayar yang terpercaya adalah satu-satunya alternatif yang nyata.

---

Pendahuluan

Ada pepatah yang mengatakan, "Jika gratis, bahkan racun pun diminum." Dalam dunia digital, ungkapan ini sangat tepat. Semakin banyak orang memilih VPN gratis untuk menghemat biaya langganan bulanan, tetapi jarang ada yang menyadari betapa besar harga yang harus dibayar untuk pilihan tersebut.

VPN (Virtual Private Network) pada dasarnya adalah alat untuk mengenkripsi koneksi internet dan menyembunyikan alamat IP pengguna untuk melindungi privasi online. Teknologi yang awalnya digunakan sebagai sarana keamanan akses jarak jauh di lingkungan perusahaan kini telah banyak digunakan di kalangan konsumen umum. Namun, ada masalah. Menjalankan layanan VPN memerlukan biaya operasional yang besar, termasuk biaya infrastruktur server, biaya lalu lintas, dan biaya tenaga kerja. Jadi, bagaimana perusahaan VPN gratis menghasilkan pendapatan?

Jawabannya sederhana. Anda adalah produk.

Dalam artikel ini, kita akan mengungkap risiko VPN gratis berdasarkan contoh dan data konkret, serta memberikan panduan tentang pilihan apa yang harus diambil untuk keamanan online yang sebenarnya.

---

Apakah VPN Gratis Benar-Benar Gratis? — Tentu Tidak

Jawaban untuk pertanyaan ini jelas. VPN gratis tidak gratis. Anda hanya membayar dengan data, privasi, dan terkadang keamanan perangkat Anda.

Di Silicon Valley, ada pepatah lama. "Jika Anda tidak membayar untuk produk, Anda adalah produk." Prinsip ini, yang berlaku di platform media sosial, diterapkan dengan cara yang lebih eksplisit di industri VPN gratis.

Model pendapatan yang diambil oleh perusahaan VPN gratis dapat dibagi menjadi empat kategori besar.

Pertama, pengumpulan dan penjualan data pengguna. Mereka mengumpulkan informasi tentang situs web yang dikunjungi, riwayat pencarian, lokasi, dan informasi perangkat, lalu menjualnya kepada perusahaan iklan atau broker data. Kedua, penyisipan iklan. Mereka menyisipkan iklan ke dalam lalu lintas pengguna untuk mendapatkan pendapatan per klik. Ketiga, penjualan bandwidth. Mereka menjual koneksi internet pengguna untuk tujuan lain. Keempat, penyebaran malware. Mereka menyisipkan spyware atau adware ke dalam aplikasi untuk menghasilkan pendapatan dengan berbagai cara.

Sekarang, mari kita lihat satu per satu lima risiko utama dari VPN gratis.

---

Risiko 1: Pencatatan dan Penjualan Data — Perilaku Online Anda Diperdagangkan

Nilai inti dari VPN adalah "Kebijakan Tanpa Pencatatan", yaitu tidak menyimpan catatan aktivitas pengguna. Namun, banyak VPN gratis membalikkan janji ini. Mereka mencatat semua aktivitas online pengguna dengan teliti dan menjual data tersebut kepada pihak ketiga.

Kasus Hola VPN yang terungkap pada tahun 2015 menunjukkan betapa seriusnya masalah ini. Saat itu, Hola VPN yang dioperasikan oleh perusahaan Israel memiliki jutaan pengguna di seluruh dunia. Namun, layanan ini tanpa pemberitahuan kepada pengguna, menggunakan koneksi internet pengguna sebagai botnet untuk dijual kepada perusahaan lain. Jaringan ini dioperasikan dengan cara yang dapat disalahgunakan untuk serangan online, dan pengguna tanpa sadar menjadi bagian dari serangan tersebut.

Contoh lain adalah Betternet. VPN gratis ini mengklaim melindungi privasi, tetapi sebenarnya mengumpulkan data pengguna untuk dijual kepada perusahaan iklan. Analisis aplikasi menunjukkan bahwa ada beberapa pustaka pelacakan di dalamnya.

Membaca Kebijakan Privasi dengan teliti akan mengungkapkan kenyataan tentang VPN gratis. Banyak syarat dan ketentuan VPN gratis mencantumkan kalimat seperti, "Kami dapat berbagi data agregat yang dianonimkan dengan mitra iklan." Jangan tertipu oleh kata 'anonimkan'. Teknologi analisis data modern telah membuktikan melalui berbagai penelitian bahwa data yang disebut anonim dapat digunakan untuk mengidentifikasi individu.

Jenis data yang dikumpulkan sangat luas. URL yang dikunjungi, kata kunci pencarian, riwayat belanja online, catatan pencarian terkait kesehatan dan keuangan, informasi lokasi, waktu dan pola akses semuanya termasuk. Ketika informasi ini digabungkan, profil rinci tentang pola hidup, kondisi kesehatan, situasi keuangan, minat, dan kecenderungan politik Anda dapat disusun.

---

Risiko 2: Penyisipan Malware — Aplikasi VPN Itu Sendiri adalah Virus

Tim peneliti CSIRO (Badan Penelitian Ilmiah dan Industri Australia) melakukan analisis besar-besaran terhadap 283 aplikasi VPN gratis yang terdaftar di Google Play Store pada tahun 2016. Hasilnya mengejutkan.

• 38% aplikasi ditemukan mengandung malware.
• 84% aplikasi mengungkapkan lalu lintas pengguna.
• 75% aplikasi mengandung pustaka pelacakan.
• 18% aplikasi tidak benar-benar mengenkripsi lalu lintas.

Penelitian ini benar-benar mengguncang keyakinan pengguna bahwa "VPN gratis itu aman". Yang lebih mengejutkan adalah, malware ditemukan bahkan di antara aplikasi yang memiliki peringkat tinggi di app store. Ini menunjukkan bahwa ulasan dan peringkat pengguna tidak selalu menjadi indikator keamanan.

Jenis malware juga bervariasi. Adware (perangkat lunak iklan) menyisipkan iklan ke dalam browser pengguna atau menghasilkan pop-up. Spyware (perangkat lunak mata-mata) diam-diam mengumpulkan informasi melalui input keyboard, tangkapan layar, dan akses ke kamera/mikrofon. Trojan (trojan horse) tampak seperti aplikasi VPN yang normal, tetapi melakukan aktivitas berbahaya di dalam. Beberapa aplikasi bahkan menggunakan perangkat pengguna untuk menambang cryptocurrency.

Pada tahun 2019, aplikasi VPN gratis 'SuperVPN' diunduh lebih dari 100 juta kali di Google Play, tetapi terungkap bahwa aplikasi ini memiliki kerentanan keamanan serius dan dapat terpapar serangan Man-in-the-Middle. Meskipun demikian, aplikasi ini tidak dihapus dari pasar aplikasi untuk waktu yang lama.

---

Risiko 3: Penjualan Bandwidth — Internet Anda Digunakan untuk Tujuan Lain

Bagian yang paling mengejutkan dari kasus Hola VPN yang disebutkan sebelumnya bukan hanya pengumpulan data sederhana. Hola mengikat komputer dan smartphone pengguna menjadi satu jaringan P2P (Peer-to-Peer) raksasa, dan menjual bandwidth internet pengguna kepada pelanggan perusahaan melalui perusahaan lain, Luminati (sekarang Bright Data).

Dengan kata lain, saat Anda menggunakan Hola VPN, koneksi internet Anda sebenarnya menjadi saluran untuk meneruskan lalu lintas orang lain. Masalah yang lebih serius adalah pengguna tidak tahu untuk apa perusahaan atau individu yang membeli bandwidth ini menggunakannya. Jika disalahgunakan untuk serangan DDoS, pengunduhan konten ilegal, atau penipuan, Anda sebagai pemilik alamat IP dapat bertanggung jawab secara hukum.

Ini bukan hanya pelanggaran privasi, tetapi juga masalah yang melibatkan risiko hukum. Di Korea, alamat IP sering digunakan sebagai bukti kunci dalam kasus pelanggaran hak cipta atau kejahatan siber. Anda bisa terlibat dalam kejahatan tanpa menyadarinya.

Beberapa layanan VPN gratis melakukan ini dengan cara yang lebih halus. Mereka menyisipkan SDK (Software Development Kit) ke dalam aplikasi lain, sehingga saat pengguna menjalankan aplikasi tersebut, bandwidth dikumpulkan di latar belakang. Pengguna mungkin berpikir bahwa mereka tidak mengaktifkan aplikasi VPN, tetapi perangkat mereka sudah meneruskan koneksi internet orang lain.

---

Seberapa Baik Tingkat Enkripsi VPN Gratis? — Tidak Ada atau Lemah

Kesimpulannya, banyak VPN gratis tidak menyediakan enkripsi yang memadai.

VPN perlu menggunakan enkripsi tingkat militer untuk menjalankan fungsinya. Standar industri saat ini adalah enkripsi AES-256 (Advanced Encryption Standard 256-bit), yang secara matematis terbukti memerlukan waktu lebih lama dari usia alam semesta untuk ditembus bahkan dengan superkomputer terkuat saat ini.

Namun, menurut penelitian CSIRO yang disebutkan sebelumnya, 18% dari VPN gratis yang dianalisis tidak mengenkripsi lalu lintas sama sekali. Mereka hanya menggunakan nama VPN, tetapi sebenarnya tidak memberikan keamanan sama sekali.

Bahkan jika enkripsi dilakukan, ada masalah. Banyak VPN gratis yang masih menggunakan protokol enkripsi lama seperti PPTP (Point-to-Point Tunneling Protocol). PPTP dikembangkan pada tahun 1990-an dan sekarang diketahui memiliki kerentanan keamanan serius yang dapat dengan mudah dipecahkan oleh peretas profesional. Sebaliknya, VPN berbayar yang terpercaya menggunakan protokol modern dan aman seperti OpenVPN, WireGuard, dan IKEv2.

Enkripsi yang lemah sangat berbahaya, terutama dalam lingkungan Wi-Fi publik. Alasan utama menggunakan VPN di jaringan nirkabel terbuka di kafe, bandara, atau hotel adalah untuk meningkatkan keamanan, tetapi jika enkripsi lemah atau tidak ada, itu bisa sama berbahayanya dengan tidak menggunakan VPN sama sekali. Penyerang dapat melakukan serangan Man-in-the-Middle untuk mencuri informasi login pengguna, data keuangan, dan pesan pribadi.

---

Risiko 4: Enkripsi Lemah — Komunikasi Anda Terpapar

Masalah enkripsi VPN gratis tidak hanya terbatas pada penggunaan protokol usang. Masalah yang lebih mendasar adalah pengelolaan kunci enkripsi dan verifikasi sertifikat.

Beberapa aplikasi VPN gratis tidak memverifikasi sertifikat SSL/TLS dengan benar, membuatnya rentan terhadap serangan Man-in-the-Middle. Dalam kasus ini, penyerang dapat menyusup antara pengguna dan server VPN untuk mengintip lalu lintas. Peneliti yang menganalisis aplikasi menemukan bahwa beberapa VPN gratis menerima sertifikat yang ditandatangani sendiri (self-signed) tanpa verifikasi.

Selain itu, ada juga masalah panjang kunci enkripsi. Enkripsi 128-bit juga memiliki kelemahan tertentu, dan...