Mengapa VPN Tidak Seharusnya Membutuhkan Email Anda

Ada kontradiksi yang sunyi di inti sebagian besar produk VPN. Anda mendaftar untuk menyembunyikan alamat IP Anda dari situs web dan jaringan yang Anda gunakan. Sebelum bisa melakukannya, penyedia meminta email Anda. Lalu nama Anda yang tertera di kartu. Lalu alamat penagihan. Pendaftaran Anda dilakukan dari IP rumah Anda, jadi mereka memiliki itu juga. Pada saat aplikasi selesai dipasang, perusahaan yang Anda bayar untuk melindungi privasi Anda justru tahu lebih banyak tentang Anda dibanding kebanyakan situs yang ingin Anda hindari.

Sebuah VPN anonim — yang benar-benar tidak tahu siapa Anda — seharusnya menjadi model bawaan, bukan pengecualian yang langka. Tulisan ini membahas mengapa kontradiksi itu ada, seperti apa alternatif yang realistis, dan bagaimana berlangganan melalui App Store di iPhone diam-diam memecahkan masalah yang telah disiasati industri selama lima belas tahun.

Kontradiksi di pintu depan

Kebijakan tanpa log lalu lintas adalah fitur unggulan sebagian besar VPN yang berfokus pada privasi. Artinya penyedia tidak menyimpan catatan situs mana yang Anda kunjungi, apa yang Anda unduh, atau IP mana yang Anda hubungi. Itulah janjinya.

Yang sering dilewati oleh janji itu adalah basis data kedua — yang berisi akun Anda. Email Anda, nama Anda dari kartu yang tersimpan, IP tempat Anda mendaftar, IP tempat Anda masuk, tiket dukungan Anda, riwayat perpanjangan Anda. Tak satu pun dari itu adalah “lalu lintas.” Semuanya adalah identitas. Dan hampir setiap VPN yang bisa Anda sebut menyimpannya.

Jadi pertanyaannya sebenarnya bukan “apakah VPN ini mencatat lalu lintas saya.” Pertanyaannya adalah “apa yang VPN ini ketahui tentang saya, secara keseluruhan.” Sisi lalu lintas dan sisi akun adalah dua masalah yang berbeda, dan hampir setiap perbincangan tentang privasi VPN hanya membahas yang pertama.

Model akun yang akan Anda temui di industri VPN

Jika dilihat dari kejauhan, sebenarnya hanya ada segelintir pola. Ada baiknya menyebut masing-masing agar Anda bisa mengenali pola mana yang digunakan suatu penyedia.

Email dan kata sandi

Pendaftaran SaaS klasik. Anda memberikan email, menetapkan kata sandi, mengonfirmasi lewat tautan. Penyedia kini memiliki pengenal permanen untuk Anda serta catatan kapan Anda mendaftar dan dari mana. Ini adalah model yang dominan dan, sejauh ini, yang paling terbuka.

Email ditambah pemroses pembayaran

Sama seperti di atas, dengan kartu yang ditambahkan ke berkas melalui Stripe atau yang serupa. Pemroses menangani rincian kartu, tetapi VPN tetap memiliki email Anda, nama Anda dari kartu, dan catatan penagihan. Pengembalian dana dan perpanjangan mengharuskan email itu tetap ada.

Tautan ajaib atau kode sekali pakai

Dipasarkan sebagai “tanpa kata sandi” dan kadang sebagai “ramah privasi.” Padahal bukan, dalam pengertian privasi yang bermakna apa pun. Penyedia tetap memiliki email Anda; mereka hanya tidak meminta Anda mengingat kata sandi untuknya.

Langganan App Store melalui Apple ID Anda

Ini adalah model yang tidak pernah dicermati oleh sebagian besar pengguna iPhone. Anda mengetuk berlangganan, mengonfirmasi dengan Face ID, dan transaksi berjalan melalui Apple. Pengembang tidak melihat email, kartu, atau nama Anda. Mereka hanya menerima tanda terima bertanda tangan dari Apple yang mengonfirmasi langganan aktif. Kita akan kembali ke yang satu ini.

Mata uang kripto tanpa akun

Opsi paling maksimalis. Bayar dengan Monero atau yang serupa, dapatkan token atau kredensial, jangan pernah memberi apa pun kepada penyedia. Secara prinsip benar-benar anonim, tetapi merepotkan secara operasional — Anda kehilangan kemudahan perpanjangan, kemudahan pengembalian dana, kemudahan pemindahan perangkat, dan Anda menanggung sendiri beban mengelola kredensialnya. Bagi sebagian besar pengguna, ini bukan opsi yang realistis, sekalipun mereka peduli pada hasilnya.

Risiko akun VPN yang terikat identitas

Mudah saja mengabaikan data di sisi akun dengan berkata “ya sudah, mereka punya email saya, lalu kenapa.” “Lalu kenapa” itu menjadi nyata cukup cepat.

Radius ledakan subpoena dan permintaan hukum

Kebijakan tanpa log di sisi lalu lintas memang berguna, tetapi tidak meluas ke data akun. Jika pengadilan memerintahkan penyedia untuk menyerahkan apa yang mereka miliki atas suatu email atau identitas penagihan, mereka harus mematuhinya. Penyedia tidak bisa berkata “kami tidak menyimpan log lalu lintas, jadi kami tidak punya apa-apa” — mereka harus menyerahkan catatan akun, IP pendaftaran, tiket dukungan, dan riwayat perpanjangan.

Catatan itu saja sering kali sudah cukup untuk memastikan bahwa orang tertentu adalah pelanggan selama jendela waktu tertentu. Bergantung pada yurisdiksi dan permintaannya, itu adalah pengungkapan yang bermakna bahkan tanpa data lalu lintas apa pun yang terlampir.

Paparan akibat kebocoran data

Basis data akun bisa bocor. Mereka telah bocor pada penyedia VPN besar, pengelola kata sandi, dan semua yang ada di antaranya. Saat basis data CRM atau otentikasi dibobol, kebocoran itu tidak hanya membuka email Anda — ia membuka fakta bahwa Anda, dengan email itu, adalah pelanggan sebuah VPN. Itu bukan hal sepele. Bagi sebagian pengguna di sebagian tempat, satu fakta itu adalah bagian yang sensitif.

Korelasi silang antar kebocoran

Masalah yang lebih dalam adalah bahwa tidak ada kebocoran yang terjadi secara terisolasi. Email akun VPN Anda juga adalah email belanja Anda, email forum Anda, dan mungkin email yang berkaitan dengan pekerjaan Anda. Begitu beberapa basis data bocor, email yang sama mulai muncul di semua kebocoran itu, dan sebuah profil pun merakit dirinya sendiri dari puing puing tersebut. Hal yang paling privat tentang sebuah akun sering kali adalah tidak memilikinya sejak awal.

Untuk konteks tentang apa yang sebenarnya dimaksud penyedia saat mereka mengatakan “tanpa log,” lihat tulisan kami tentang apa arti VPN tanpa log yang sebenarnya, dan untuk gambaran yang lebih besar tentang klaim VPN mana yang tahan uji, lihat panduan kami tentang mitos VPN umum.

Bagaimana langganan Apple ID memisahkan identitas dari pengembang

Model langganan App Store secara struktural sangat berbeda dari model akun SaaS, dan ada baiknya memahami mengapa hal ini penting untuk sebuah VPN anonim.

Saat Anda berlangganan sebuah aplikasi melalui App Store, Anda sedang melakukan transaksi dengan Apple, bukan dengan pengembang. Apple menyimpan metode pembayaran Anda, Apple ID Anda, alamat penagihan Anda, dan riwayat langganan Anda. Pengembang — dalam hal ini penyedia VPN — berada di sisi lain dinding itu.

Yang sebenarnya didapat pengembang, saat Anda berlangganan, adalah tanda terima bertanda tangan. Kerangka StoreKit milik Apple memberikan aplikasi sebuah objek transaksi kriptografis, dan server pengembang memvalidasi transaksi itu terhadap server Apple. Hasil validasi kembali dengan satu keping informasi yang penting: ya, langganan ini aktif, dan ya, ia milik pengenal anonim ini. Tanpa email. Tanpa nama. Tanpa kartu. Tanpa alamat.

Jika Anda membatalkan, Anda membatalkan melalui Apple. Jika Anda ingin pengembalian dana, Anda memintanya kepada Apple. Jika kartu Anda kedaluwarsa, Anda memperbaruinya di pengaturan Apple ID Anda — pengembang tidak pernah melihat kartu yang baru, yang lama, atau bahkan bahwa ada sesuatu yang berubah. Hal yang sama berlaku untuk perpanjangan.

Bagi pengguna, ini tampak seperti alur langganan biasa. Secara struktural, ini adalah pemisahan yang bersih: Apple menangani identitas dan uang, pengembang menangani produk. Dan karena tidak ada formulir pendaftaran di sisi pengembang, tidak ada basis data akun di sisi pengembang. Hal yang seharusnya bocor dalam suatu pembobolan memang tidak ada untuk bisa bocor.

Ini bukan trik privasi. Begitulah cara semua langganan App Store bekerja. Sebagian besar aplikasi yang memakainya tidak punya kisah privasi untuk diceritakan dengannya karena mereka meminta email Anda secara terpisah, di dalam aplikasi, untuk “membuat akun Anda.” Sebuah VPN tidak perlu melakukan itu, dan sebagian besar dari mereka tetap melakukannya karena kebiasaan.

Bagaimana Snap VPN menanganinya

Snap dibangun di atas asumsi bahwa alur App Store sudah cukup. Tidak ada formulir pendaftaran saat peluncuran pertama. Tidak ada kolom email di mana pun. Tidak ada langkah “buat akun” sebelum Anda bisa terhubung.

Anda memasang aplikasi, mengetuk berlangganan, mengonfirmasi dengan Face ID. Dari sisi Snap, yang tiba adalah tanda terima terverifikasi dan sebuah pengenal anonim. Tanda terima itu menyatakan bahwa Anda berlangganan. Pengenal itu memungkinkan aplikasi mengingat bahwa pada perangkat ini Anda berlangganan. Keduanya tidak memuat email, nama, atau informasi pembayaran Anda, karena server Snap tidak menerima itu — Apple yang menerimanya.

Tidak ada pengenal pengguna yang terikat pada identitas dunia nyata yang disimpan di sisi kami. Kepercayaan yang Anda berikan kepada Snap bersifat operasional (jaringan, server, protokol), bukan jenis kepercayaan “kami menyimpan identitas Anda, mohon percayakan kepada kami” yang melekat pada setiap akun email-dan-kata-sandi.

Secara praktis: jika seseorang meminta Snap untuk “semua data yang Anda miliki tentang orang di alamat email ini,” tidak akan ada catatan untuk diserahkan, karena tidak ada alamat email yang tersimpan. Itu bukan klaim pemasaran, melainkan konsekuensi dari tidak membuat formulir pendaftaran.

Jika Anda ingin melangkah lebih jauh di perangkat itu sendiri, daftar periksa privasi iPhone kami membahas pengaturan yang layak diaktifkan berdampingan dengan VPN anonim.

Batasan yang jujur

Akan menyesatkan jika tulisan ini berhenti di sini tanpa menyebut apa yang tidak dilakukan model ini. Sebuah VPN anonim yang dibangun di atas Apple ID bukanlah hal yang sama dengan VPN tanpa ketergantungan kepercayaan sama sekali.

Anda tetap memercayai Apple. Apple tahu Anda berlangganan. Jika Anda peduli pada hal itu — jika model ancaman Anda mencakup Apple sendiri — maka model langganan App Store bukanlah pilihan yang cocok, dan jalur mata uang kripto tanpa akun adalah satu-satunya jawaban yang jujur. Bagi sebagian besar pengguna, pertukarannya wajar saja: Apple adalah entitas yang sudah dikenal, hubungannya sudah ada, dan datanya tertampung di dalam ekosistem yang sudah Anda gunakan.

Anda tetap memercayai penyedia VPN untuk menjalankan jaringan secara jujur. Tidak ada model akun yang memperbaiki hal itu. Penyedia yang tidak memiliki email Anda tetap bisa salah mengonfigurasi sebuah server, mencatat koneksi yang ia klaim tidak dicatat, atau menjual data agregat yang seharusnya tidak. Model akun adalah soal mengurangi apa yang bisa terbuka oleh suatu pembobolan, bukan soal menghapus kebutuhan untuk memercayai operator sama sekali.

Yang berubah adalah ukuran radius ledakannya. Jika server Snap dibobol besok, penyerang tidak akan menemukan daftar email, daftar nama, nomor kartu, alamat penagihan, atau arsip tiket dukungan yang terikat pada identitas nyata. Hal yang biasanya bocor dalam pembobolan VPN — basis data akun — memang tidak ada. Lebih sedikit yang bisa dibobol karena lebih sedikit yang dikumpulkan.

Itulah intinya. Anonim sejak rancangan berarti merancang sistem sedemikian rupa sehingga hal yang sensitif memang tidak ada sejak awal, bukan sehingga ia “dilindungi” atau “dienkripsi saat disimpan” atau frasa lain mana pun yang artinya “kami memilikinya, tetapi dengan hati-hati.”

Intinya

Kontradiksi sebuah VPN yang meminta email Anda itu nyata, dan industri kebanyakan menyiasatinya alih-alih memperbaikinya. Perbaikannya bukan kriptografi baru atau audit tanpa log yang baru; melainkan tidak membangun basis data akun sejak awal. Model langganan App Store memungkinkan hal itu di iPhone dengan cara yang tidak kasatmata bagi pengguna dan bersih secara struktural bagi pengembang. Begitulah wujud VPN anonim ketika sisi akun ditanggapi seserius sisi lalu lintas.

Jika Anda sedang memilih VPN dan hal pertama yang ia minta adalah email Anda, itu adalah sinyal yang adil tentang bagaimana sisanya dari produk itu akan memperlakukan data Anda. Standar bawaan yang lebih baik itu ada.

Penutup

Jika sebuah VPN yang tidak tahu email Anda terdengar seperti standar bawaan yang tepat — karena memang demikian — Snap dibangun seperti itu sejak ketukan pertama. Tanpa pendaftaran. Tanpa formulir. Tanpa identitas yang tersimpan. Hanya sebuah aplikasi, langganan yang ditambatkan pada Apple ID Anda, dan jaringan yang bisa Anda gunakan.