Ilustrasi VPN. (Istockphoto/ South_agency)
LENSAPANDAWA.COM –
Sejumlah pengguna internet kian marak menggunakan Virtual Private Network (VPN) untuk mengakses situs yang diblokir oleh pemerintah. Hanya dengan mengunduh salah satu dari sekian banyak aplikasi VPN, pengguna internet bisa dengan bebas membuka situs yang diinginkan.
Namun, banyak pengguna internet tidak menyadari bahaya keamanan yang ditimbulkan dari menggunakan VPN. Ada sejumlah provider yang menawarkan layanan VPN berbayar. Ada pula VPN yang bisa digunakan pengguna internet secara gratis atau ‘cuma-cuma’.
Telkomsel menyampaikan salah satu tujuan utama dari penggunaan VPN adalah untuk melindungi penggunanya dari para peretas. Namun, situasinya bisa berbalik 180 derajat jika pengguna internet menggunakan layanan VPN gratis.
Telkomsel membeberkan studi berjudul ‘An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps’ yang mengobservasi 283 VPN menunjukkan bahwa 38 persen dari sampel VPN mengandung malware, dengan nama-nama VPN gratis mendominasi daftar tersebut.
“Sekali lagi, layanan VPN gratis bisa menyalahi fungsi sebenarnya dari penggunaan VPN. Layanan tersebut sebetulnya dimanfaatkan untuk melindungi privasi penggunanya ketika berselancar di dunia maya. Alih-alih menjalankan fungsi tersebut, layanan VPN gratis justru bisa melacak aktivitas online penggunanya,” kutip keterangan dalam laman resmi Telkomsel, Selasa (30/6).
Dalam studi yang sama, Telkomsel menyebut 72 persen dari VPN gratis yang menjadi sampel memiliki fungsi pelacak di dalam sistemnya. Pelacak itu digunakan untuk mengumpulkan data-data dari aktivitas online pengguna yang kemudian ‘disuguhkan’ kepada para pengiklan agar mereka bisa memasang iklan ke sasaran yang tepat.
Terkiat dengan temuan itu, Telkomsel mengingatkan VPN gratis sangat berbahaya ketika digunakan untuk kegiatan-kegiatan sensitif, seperti mengakses aplikasi mobile banking atau melakukan transaksi di e-commerce. Penggunaan VPN bisa mencuri data dan password pengguna.
“Pasalnya, server dari VPN tersebut dapat menyimpan data pengguna, dan penyalahgunaan data bisa dilakukan setelahnya,” kata Telkomsel.
Perbedaan paling mencolok antara VPN gratis dengan berbayar, kata Telkomsel terletak dari kuota data penggunanya. Dengan cara itu, VPN gratis memaksa penggunanya untuk beralih ke berbayar.
“Besaran kuota yang menjadi ambang batas pun beragam. Ada yang hanya 500MB, ada juga yang sampai 2GB,” katanya.
Ada sejumlah cara untuk mengalihkan pengguna VPN gratis ke berbayar. Salah satunya adalah dengan dengan menampilkan banyak iklan. Selain itu, sejumlah provider VPN gratis juga dapat mengalihkan bandwidth pengguna gratis kepada pengguna berbayar agar orang-orang yang berlangganan dapat merasakan pengalaman yang lebih baik.
“Sebaliknya, hal ini membuat pengguna gratis merasakan koneksi internet yang lambat,” kata Telkomsel.
Dalam beberapa kasus, iklan dapat muncul begitu pengguna telah terhubung dengan VPN gratis tersebut atau tiap membuka tab baru.
Selain mengganggu, Telkomsel menyebut iklan-iklan tersebut dapat memperlambat koneksi internet pengguna. Bahkan, iklan-iklan itu juga berpotensi mengandung malware yang akan menyusupi perangkat ketika pengguna melakukan klik pada iklan terkait.
Badan Siber dan Sandi Negara (BSSN) menjelaskan VPN merupakan salah satu metode yang umum digunakan oleh sebuah organisasi untuk memungkinkan personelnya mengakses jaringan internal organisasi secara aman pada saat tidak berada di tempat kerja/kantor.
Pada 2019, BSSN menyebut sejumlah produk VPN memiliki kerentanan, misalnya produk yang dibuat oleh Pulse Secure, Palo Alto, dan Fortinet.
BSSN membeberkan VPN yang dibuat oleh ketiga pengembang itu bisa mengambil sembarang file yang tersimpan pada server, termasuk juga file yang berisi kredensial yang diperlukan untuk mengautentikasi pengguna.
“Penyerang kemudian dapat menggunakan kredensial yang sudah diperolehnya untuk terhubung ke dalam VPN dan mengganti pengaturan konfigurasi, atau terhubung lebih jauh dengan infrastruktur internal,” kutip BSSN.
Kemudian, BSSN menyebut koneksi yang tidak terautentikasi ke VPN juga memberikan akses (privilege) yang dibutuhkan kepada penyerang untuk menjalankan eksploitasi lebih lanjut dengan tujuan untuk mengkompromi keseluruhan sistem.
Terkait dengan kerentanan itu, BSSN menyarankan pengguna internet melakukan sejumlah tindakan, misalnya memasang pembaruan keamanan (security patches) terbaru yang disediakan oleh vendor pembuat produk.
Kemudian, instalasi ulang perangkat untuk memastikan penyerang tidak lagi memiliki akses terhadap sistem. Selain itu, melakukan reset terhadap kredensial pengguna VPN yang terdampak kerentanan dan akun lainnya yang terkoneksi melalui perangkat tersebut.
(jps/DAL)
