Kerap kali apabila berbicara mengenai pemilihan VPN terbaik, maka bidang kuasa (jurisdiction) negara akan menjadi sebutan. Ianya tidak dapat lari, kerana ia saling berkait antara kepercayaan dan rasa selamat yang diperlukan.
Jadi, mana-mana negara yang termasuk dalam kumpulan negara risikan 14 Eyes, sering ditolak keluar kerana bimbangkan privasi dan sekuriti data peribadi. Namun benarkah begitu? Adakah negara atau kawasan yang tidak termasuk jajahan takluk 14 Eyes selamat? Atau adakah mana-mana servis yang tidak berada dalam penguasaan 14 Eyes ini ‘boleh diharap’?
Artikel ini menyingkap serba sedikit isu bidang kuasa negara, dan kes-kes yang membuktikan bahawa tiada yang benar-benar boleh diharap jika hanya bergantung kepada satu faktor sahaja. Kesemua faktor dari penguasaan sesebuah negara kepada ketelusan penyedia servis VPN itu sendiri memainkan peranan dalam memastikan keselamatan data kita terjamin.
1. PureVPN
Kami pernah menulis berita mengenai PureVPN dan pembohongan mereka dalam terma dan syarat yang menyatakan ‘tiada log dibuat’ sedangkan perbuatan log dari PureVPN telah membantu FBI untuk memberkas seorang ‘cyber stalker’. Ia juga adalah VPN sama yang membocorkan alamat IP pengguna.
Oh ya, PureVPN berada dalam bidang kuasa kehakiman Hong Kong. Ini bererti mereka tidak berada di bawah penguasaan negara-negara 14 Eyes, tetapi masih lagi memberikan kerjasama penuh kepada FBI, dan paling penting servis yang mengatakan tiada log sepenuhnya, adalah satu dusta semata-mata apabila log digunapakai oleh FBI dalam memerangkap individu.
Benar, adalah amat menyedihkan apabila VPN digunakan bagi membuat jenayah. Tetapi dalam masa yang sama ia juga menyedihkan apabila syarikat atau organisasi yang berikrar untuk melindungi privasi penggunanya tidak menunaikan janji tersebut.
Rujuk: FBI Solves Case Thanks to PureVPN Lies
2. Private Internet Access
Ini adalah servis VPN kedua yang pernah didatangi oleh FBI. Private Internet Access (dirujuk sebagai PIA) adalah penyedia servis VPN dari USA, negara 5 Eyes saudara dan saudariku sekalian.
Walau bagaimanapun, sepina yang diserahkan kepada mereka oleh FBI telah berjaya membuktikan bahawa servis VPN yang berada dalam taklukan kuasa negara 5 Eyes pun belum tentu boleh digoyah apabila FBI tidak menemukan apa-apa data yang berguna pada PIA.
“During the course of the investigation, subpoenas and search warrants have been directed to various companies in an attempt to identify the internet protocol (IP) address from where the email messages are being sent,” – Demikian, antara rangkap yang telah difaikan oleh FBI.
“All of the responses from [email provider] 1&1, Facebook, Twitter, and Tracfone have been traced by IP address back to a company named London Trust Media [doing business as] PrivateInternetAccess.com.”
“A subpoena was sent to London Trust Media and the only information they could provide is that the cluster of IP addresses being used was from the east coast of the United States,”.
FBI gagal menemui sebarang bukti yang mengaitkan pesalah tersebut dengan PIA, tetapi mereka berjaya mendapatkan maklumat melalui satu syarikat lain.
“Although the investigation has not revealed any payment by McWaters to London Trust, he did make a purchase from AnchorFree Inc [HotspotShield VPN] on October 23, 2015,” the complaint notes.
“After scrutinizing the validity of the subpoena and confirming it, we restated as we always do the content of our privacy policy and then we notified the agent that we do not log any user activity. The agent confirmed his understanding of our company’s policy and position and then pursued alternative leads.” – Pengerusi Eksekutif London Trust Media, Andrew Lee.
Rujuk: VPN Provider’s No-Logging Claims Tested in FBI Case
3. ExpressVPN
Dalam hal ini, ExpressVPN dikendali di British Virgin Islands (dirujuk sebagai BVI), sebuah kawasan yang jauh dari penguasaan negara 14 Eyes, dan mereka mempunyai prinsip serta Undang-Undang privasi yang tersendiri.
Dalam satu kes, pihak berkuasa Turki merampas pelayan VPN yang dikendalikan oleh ExpressVPN kerana menurut mereka servis dari syarikat tersebut telah diguna untuk menyembunyikan informasi mengenai pembunuhan Duta Rusia ke Turki, Andrei Karlov.
Pihak berkuasa Turki menyerbu pusat data dan merampas pelayan dengan harapan dapat menjejaki individu yang menghapuskan Facebook dan akaun Gmail pembunuh, bersama-sama dengan perbualan yang berguna untuk siasatan.
Individu tersebut berbuat demikian dengan menyembunyikan alamat IP melalui ExpressVPN.
Berikut adalah respons dari ExpressVPN:
“As we stated to Turkish authorities in January 2017, ExpressVPN does not and has never possessed any customer connection logs that would enable us to know which customer was using the specific IPs cited by the investigators. Furthermore, we were unable to see which customers accessed Gmail or Facebook during the time in question, as we do not keep activity logs. We believe that the investigators’ seizure and inspection of the VPN server in question confirmed these points.”.
Walaupun Turki tidak termasuk langsung dalam negara 14 Eyes beserta sekutunya, ExpressVPN tetap memberikan kerjasama kerana bagi mereka tiada apa yang dapat diperolehi melalui serbuan itu kerana tiada sebarang log yang disimpan.
Ini juga membuktikan VPN yang berada di dalam wilayahnya yang tersendiri, tetap juga boleh diserbu oleh pihak berkuasa, yang tidak termasuk dari negara 14 Eyes.
Dalam masa yang sama ExpressVPN berjaya menyatakan kepada semua penggunanya dan seluruh dunia bahawa mereka berpegang kepada janji – tiada log disimpan yang boleh diguna untuk menjejak kembali kepada para pengguna.
Konklusi
Secara ringkas, penyedia servis VPN yang berada di mana-mana negara juga tidak terlepas dari bidang kuasa negara tertentu. Cuma cepat atau lambat sahaja yang menentukannya kerana kes tersebut perlu disebut dan dibicarakan di bawah negara mana syarikat VPN itu berada.
Juga, servis VPN yang kita gunakan juga perlulah dipercayai, dan mempunyai track record yang terbaik seperti Private Internet Access dan ExpressVPN. Jika syarikat tersebut dengan rela hati menyerahkan log (walaupun dalam terma mengatakan tiada log) tambah lagi mereka berada di luar bidang kuasa FBI, CIA, ataupun NSA, syarikat seperti itu perlu terus dijauhi selama-lamanya.
Tidak semestinya jika penyedia servis VPN itu berada di Amerika Syarikat (AS), maka ia patut ditolak mentah-mentah (terbukti melalui PIA), dan tidak patut juga jika ia berada di kepulauan sendiri, ia diterima bulat-bulat. Semuanya terletak kepada sejauh mana mereka mengekalkan integriti yang utuh, dan sepakar mana mereka berjaya mengendalikan sepina serta serbuan dari pihak berkuasa tempatan ataupun luar.
Paling penting, VPN yang anda gunakan haruslah TIADA LOG yang mereka SIMPAN.
Jika ada sesuatu yang boleh kembali menjejak anda, jauhkan diri dan carilah alternatif lain yang lebih baik.