VPN (Mạng riêng ảo) tạo kết nối mạng riêng tư giữa các thiết bị thông qua Internet. VPN được sử dụng để truyền dữ liệu một cách an toàn và ẩn danh. Công cụ này mang lại một số lợi ích khi truy cập các trang web, ứng dụng bị chặn hoặc có giới hạn địa lý.
Tuy vậy, sự bùng nổ của các dịch vụ VPN đã làm dấy lên lo ngại về các vấn đề pháp lý cũng như quyền riêng tư. Nhiều chuyên gia cho rằng sử dụng VNP không thực sự an toàn.
Lớp ngụy trang cho tội phạm
Trái lại với sự phổ biến của VPN, những công ty cung cấp dịch vụ này lại thường không rõ ràng về mặt pháp lý. Các công ty này có xu hướng duy trì các chính sách và chuỗi sở hữu dữ liệu sơ sài, phức tạp.
Một trong những công ty cung cấp dịch vụ mạng riêng ảo lớn nhất hiện nay là NordVPN. Được thành lập bởi 2 doanh nhân Tom Okman và Eimantas Sabaliauskas, công ty hiện có hơn 5.500 máy chủ đặt tại 60 quốc gia trên khắp thế giới.
Tờ Time đã gọi NordVPN là một trong những phát minh tốt nhất năm 2022 và khẳng định đây là một công cụ bảo mật thiết yếu. Tuy vậy, với khả năng che giấu dữ liệu duyệt web, công cụ này đang bị lợi dụng bởi tội phạm mạng và những hành vi bất hợp pháp.
Các bài đăng trên Instagram của rapper Drake đã cho thấy anh sử dụng NordVPN để đánh bạc trực tuyến. Trong khi đó, Cựu CEO FTX Sam Bankman-Fried đã bị tòa án cấm sử dụng VPN sau khi được báo cáo đã sử dụng mạng riêng để xem Super Bowl trong thời gian quản chế.
Hồi đầu năm 2022, Cảnh sát ở Đức, Hà Lan, Canada, Cộng hòa Séc, Pháp, Hungary, Latvia, Ukraine, Mỹ và Vương quốc Anh đã đánh sập “VPNLab.net”, một dịch vụ bảo mật trực tuyến được tội phạm mạng sử dụng để phát tán các loại mã độc tống tiền.
Theo dữ liệu từ Top10VPN, sau khi cuộc xung đột giữa Nga và Ukraine nổ ra, dẫn đến người dân nước này bị chặn quyền truy cập vào Facebook và Twitter, sự quan tâm của người Nga đối với VPN đã tăng hơn 1.000%.
Nord Security sau đó đã trở thành công ty khởi nghiệp VPN có giá trị lớn nhất thế giới khi huy động 100 triệu USD vốn đầu tư và được định giá 1,6 tỷ USD. Cùng với ExpressVPN của Kape, Nord đã trở thành gương mặt đại diện cho một nền công nghiệp đang phát triển chóng mặt.
Hầu hết biện pháp bảo mật của VPN mà chúng tôi nghiên cứu đều không hề hiệu quả
Roya Ensafi, giáo sư khoa học máy tính tại Đại học Michigan
Tuy vậy, các chuyên gia bảo mật cảnh báo rằng người dùng không nên coi VPN như một sự đảm bảo về quyền riêng tư. Roya Ensafi, giáo sư khoa học máy tính tại Đại học Michigan, cho biết cô và các đồng nghiệp đã phát hiện ra rằng các nhà sản xuất VPN đều quảng cáo sai sự thật về dịch vụ của họ.
Theo cô, các nhà cung cấp dịch vụ Internet (ISP) có thể dễ dàng tìm ra ai đang sử dụng VPN dựa trên lưu lượng truy cập. Trong một số trường hợp, chính phủ hoặc ISP có thể tạm thời làm gián đoạn kết nối VPN và để lộ thông tin cá nhân nhạy cảm của người dùng.
“Hầu hết biện pháp bảo mật của VPN mà chúng tôi nghiên cứu đều không hề hiệu quả. Một số công ty cũng đã bị phát hiện thu thập dữ liệu người dùng hoặc lưu trữ nhật ký lưu lượng truy cập”, chuyên gia cho biết.
Hồi 2017, Wall Street Journal đưa tin rằng Onavo Protect, một dịch vụ VPN miễn phí do Facebook điều hành, đã theo dõi tần suất người dùng truy cập các mạng xã hội cạnh tranh. Facebook sau đó đã công khai những thông tin mà họ thu thập và đóng cửa Onavo.
Không thật sự an toàn
Jack Wilson, nghiên cứu sinh tại Đại học Abertay của Scotland, cho biết tất cả những gì VPN thực sự làm là “chuyển niềm tin” của người dùng từ ISP sang các công ty cung cấp dịch vụ.
“Hệ sinh thái VPN được sinh ra để phục vụ các tin tặc”, Jovan Petrovic, nhân viên của HideMyAss, cho biết. Anh cũng nói rằng dịch vụ này được sử dụng chủ yếu để xem Netflix hay tải các nội dung bị chặn. Anh giải thích rằng VPN chưa bao giờ là một sản phẩm bảo mật tối ưu.
“Tất cả những gì nó phục vụ là tải dữ liệu, xem phim trực tuyến và các nội dung khiêu dâm” anh nói với Bloomberg.
Nord và các công ty VPN thường đánh vào nỗi lo của khách hàng về bảo mật thông tin. Vào năm 2017, chính phủ Mỹ đã bác bỏ luật yêu cầu các ISP phải xin phép người dùng trước khi chia sẻ hoặc bán lịch sử duyệt web của họ cho các công ty tiếp thị.
Điều này khiến lượng người dùng tại Mỹ của NordVPN tăng gần gấp 4 lần ngay sau đó.
Kazimieras Celiesius, cựu nhân viên của NordVPN, cho biết các chiến dịch quảng cáo của công ty trong nhiều năm thường nhằm vào tệp khách hàng có ít hoặc không có chuyên môn.
“Tôi gọi đó là phân khúc "mù công nghệ". Họ nhìn thấy quảng cáo trên TV, mua nó và thậm chí không biết cách bật nó lên. Một số quảng cáo hứa hẹn khả năng mã hóa cấp độ quân sự và khẳng định dữ liệu của bạn sẽ không bao giờ bị xâm phạm”, Celiesius nói.
Các doanh nghiệp VPN cũng đã giành được lòng tin của khách hàng thông qua nhà tiếp thị. Celiesius cũng bóng gió rằng Cybernews, một trang web đánh giá VPN uy tín, có quan hệ trực tiếp với NordVPN.
Tóm lại là bạn tin tưởng ai hơn? ISP hay một công ty VNP nào đó.
Jack Wilson, nghiên cứu sinh tại Đại học Abertay
“Khách hàng không thể tìm được VPN nào đáng tin cậy. Họ cũng không thể truy cập trung tâm dữ liệu để kiểm tra xem máy chủ của nhà cung cấp có được bảo vệ, hay đảm bảo Nord đang ẩn lưu lượng truy cập web của họ”, cựu nhân viên tiếp tục.
Vào năm 2019, Bloonberg từng đưa tin rằng cơ sở hạ tầng của Nord tại một trung tâm dữ liệu tại Phần Lan đã bị xâm phạm. Điều làm dấy lên lo ngại về khả năng dữ liệu của người dùng NordVPN bị rò rỉ.
Vào tháng 9/2021, công ty Kape đã mua thương hiệu ExpressVPN với giá 936 triệu USD. Điều này càng đặt ra nhiều câu hỏi về sự an toàn của mạng riêng ảo bởi các sản phẩm của Kape từng cho phép nhà phát triển lén đưa quảng cáo vào máy tính của người dùng.
Các chuyên gia bảo mật cũng cảnh báo người dùng VPN rằng họ không tránh khỏi các cuộc tấn công. NordVPN lưu giữ địa chỉ email và thông tin thanh toán của người dùng trong hồ sơ và có nhiều cách để xác định danh tính của người dùng.