Apakah Mullvad Aman? Analisis Keamanan, Privasi & Audit

Apakah Mullvad Aman? Penilaian Langsung

Mullvad mencapai skor 86/100 pada indeks kepercayaan kami. Beroperasi di bawah yurisdiksi Swedia, mengenakan biaya €5/bulan dengan tidak ada akun, dan memberlakukan kebijakan no-logs yang telah diverifikasi. Audit independen oleh Cure53 dan Assured AB mengkonfirmasi kerentanan minimal. Mullvad menyimpan nol log koneksi, data lalu lintas, atau informasi identitas pribadi di 700+ servernya di 50+ negara.

Yurisdiksi Swedia dan Permintaan Data Hukum

Swedia termasuk dalam aliansi berbagi intelijen 14 Mata. Itu terdengar mengkhawatirkan pada pandangan pertama. Dalam praktiknya, kerangka hukum menceritakan kisah yang lebih bernuansa untuk penyedia VPN.

Hukum Swedia tidak mengharuskan perusahaan VPN untuk menyimpan data pengguna. Mullvad tidak memiliki kewajiban retensi data wajib menurut peraturan telekomunikasi Swedia saat ini. Ini berarti otoritas dapat mengeluarkan permintaan, tetapi Mullvad tidak memiliki apa pun yang disimpan untuk diserahkan.

Pada April 2023, polisi Swedia secara fisik memasuki kantor Mullvad di Gothenburg dengan surat perintah pencarian. Petugas berniat untuk menyita komputer yang berisi data pelanggan. Staf Mullvad menjelaskan bahwa tidak ada data pelanggan yang ada di mesin mana pun, dan polisi pergi dengan tangan kosong. Tes dunia nyata itu membuktikan kebijakan no-logs berlaku di bawah tekanan hukum.

Riwayat Audit Independen

Mullvad telah menyelesaikan beberapa audit keamanan pihak ketiga. Setiap audit meneliti bagian berbeda dari infrastruktur dan aplikasi klien.

Audit Cure53 (2020)

Cure53, perusahaan penetration testing berbasis Berlin, melakukan audit aplikasi Mullvad VPN pada 2020. Tim mengidentifikasi total 7 kerentanan: 2 berperingkat keparahan sedang, 5 berperingkat keparahan rendah. Mullvad menambal semua 7 masalah sebelum menerbitkan laporan audit lengkap secara publik di websitenya.

Audit Assured AB (2023)

Assured AB melakukan audit infrastruktur server Mullvad dan sistem internal pada 2023. Penilaian mencakup konfigurasi server, implementasi enkripsi, dan prosedur penanganan data. Hasil mengkonfirmasi bahwa infrastruktur Mullvad sesuai dengan klaim no-logs publiknya. Tidak ada kerentanan kritis yang ditemukan selama keterlibatan ini.

Audit Aplikasi Cure53 (2023)

Cure53 kembali untuk putaran kedua pada 2023, berfokus pada kode aplikasi yang diperbarui. Tindak lanjut ini menemukan lebih sedikit masalah daripada audit 2020. Mullvad mengatasi semua temuan dan sekali lagi merilis laporan lengkap untuk tinjauan publik.

Menerbitkan laporan audit lengkap tidak umum dalam industri VPN. Mullvad tidak menyunting temuan atau memilih hasil yang menguntungkan. Transparansi itu menambah bobot signifikan pada klaim keamanannya.

Kebijakan Logging: Apa yang Mullvad Simpan dan Tidak Simpan

Data yang Mullvad Tidak Kumpulkan

Mullvad tidak mencatat data lalu lintas, stempel waktu koneksi, durasi sesi, atau alamat IP. Ia menyimpan tidak ada kueri DNS, catatan penggunaan bandwidth, atau penugasan server VPN. Aktivitas akun tetap sepenuhnya tidak tertaut pada perilaku browsing atau metadata koneksi.

Data yang Mullvad Proses

Mullvad memproses jumlah total koneksi simultan per akun (dibatasi hingga 5). Penghitung ini ada secara real-time dan tidak ditulis ke penyimpanan persisten apa pun. Saat Anda memutuskan sambungan, penghitung itu berkurang. Tidak ada catatan historis yang tetap.

Mullvad juga memproses data server load agregat jangka pendek untuk optimasi kinerja. Data ini mengandung nol informasi yang dapat diidentifikasi pengguna dan berputar secara otomatis.

Sistem Akun

Mullvad menghasilkan nomor akun 16 digit acak. Tidak ada email, tidak ada nama, tidak ada sandi yang diperlukan. Anda dapat membayar dengan uang tunai yang dikirim dalam amplop, Bitcoin, atau Monero. Desain ini menghilangkan informasi identitas pribadi dari proses pendaftaran sepenuhnya.

Standar Enkripsi dan Protokol

Mullvad mendukung dua protokol: WireGuard dan OpenVPN. Kedua implementasi menggunakan standar kriptografi yang kuat dan telah ditinjau dengan baik.

Implementasi WireGuard

WireGuard menggunakan ChaCha20 untuk enkripsi simetris, Curve25519 untuk pertukaran kunci, dan BLAKE2s untuk hashing. Mullvad default ke WireGuard di semua platform. Jabat tangan koneksi selesai dalam waktu kurang dari 100 milidetik di jaringan paling.

Implementasi OpenVPN

Koneksi OpenVPN menggunakan AES-256-GCM untuk enkripsi saluran data. Pertukaran kunci mengandalkan sertifikat RSA-4096 dengan autentikasi SHA-512. Mullvad mengkonfigurasi OpenVPN dengan tls-auth untuk mencegah fingerprinting dan serangan DDoS pada terowongan VPN.

Terowongan Tahan Quantum

Mullvad menambahkan pertukaran kunci tahan pasca-quantum ke terowongan WireGuard pada 2023. Fitur ini melapisi Classic McEliece dan enkapsulasi kunci Kyber di atas kriptografi WireGuard standar. Mullvad adalah VPN komersial pertama yang mengirimkan fitur ini di semua platform desktop.

Perlindungan Kill Switch dan DNS Leak

Perilaku Kill Switch

Kill switch Mullvad diaktifkan secara default di semua platform. Ia memblokir semua lalu lintas internet ketika terowongan VPN turun secara tak terduga. Implementasi beroperasi di tingkat firewall, bukan tingkat aplikasi. Ini mencegah kebocoran bahkan jika aplikasi Mullvad mogok sepenuhnya.

Di Linux, Mullvad menggunakan aturan nftables untuk memberlakukan pemblokiran lalu lintas. Di Windows, ia memodifikasi Platform Penyaringan Windows. Di macOS, ia menggunakan aturan packet filter. Setiap implementasi mencegah kebocoran IPv4 dan IPv6 secara bersamaan.

Perlindungan Kebocoran DNS

Mullvad mengarahkan semua kueri DNS melalui server DNS terenkripsinya sendiri. Aplikasi memblokir permintaan DNS sistem yang mencoba melewati terowongan. Mullvad mengoperasikan server DNS di setiap lokasi server VPN, menyelesaikan kueri secara lokal tanpa meneruskan ke pihak ketiga.

Pengguna juga dapat mengkonfigurasi DNS khusus dalam aplikasi. Bahkan dengan DNS khusus, kueri masih bepergian di dalam terowongan terenkripsi. Tes kebocoran independen secara konsisten menunjukkan nol kebocoran DNS, WebRTC, atau IPv6 di semua klien Mullvad.

Insiden Keamanan Masa Lalu

Penyerbuan Polisi (April 2023)

Enam petugas dari Kepolisian Nasional Swedia memasuki kantor Mullvad di Gothenburg. Mereka membawa surat perintah pengadilan distrik yang mencari informasi pelanggan. CEO Mullvad menjelaskan perusahaan tidak menyimpan data pelanggan. Polisi tidak menyita peralatan apa pun dan pergi setelah tim hukum Mullvad menantang penerapan surat perintah.

Tidak Ada Pelanggaran Data yang Diketahui

Pada siklus audit terbaru, Mullvad telah melaporkan nol pelanggaran data. Tidak ada data pengguna yang muncul di database yang bocor. Tidak ada serangan credential stuffing berlaku karena Mullvad tidak menggunakan sandi atau alamat email. Sistem nomor akun 16 digit membatasi permukaan serangan secara substansial.

Pengungkapan Kerentanan

Mullvad mempertahankan pendekatan bounty bug aktif dan menerbitkan pemberitahuan keamanan di blognya. Semua kerentanan yang ditemukan selama audit menerima patch dalam hitungan minggu penemuan. Perusahaan belum mengalami eksploitasi zero-day dari infrastruktur produksinya.

Fitur Keamanan Unik

DAITA (Pertahanan Terhadap Analisis Lalu Lintas Berbasis AI)

Mullvad mengembangkan DAITA untuk melawan serangan analisis lalu lintas. Fitur ini membuat padding paket ke ukuran seragam dan menyuntikkan pola lalu lintas penipu. Ini mencegah musuh mengidentifikasi situs web mana yang dikunjungi pengguna berdasarkan sidik jari lalu lintas.

DNS Terenkripsi Melalui HTTPS (DoH)

Mullvad menawarkan layanan DoH publik di dns.mullvad.net. Pengguna dapat mengenkripsi kueri DNS bahkan tanpa VPN berjalan. Layanan ini mencakup profil DNS pemblokiran iklan dan pemblokiran pelacak opsional.

Server Diskless RAM-Only

Mullvad menjalankan seluruh armada server dalam mode RAM-only. Tidak ada hard drive di server. Setiap reboot menghapus semua data sepenuhnya. Arsitektur ini memastikan bahwa penyitaan server fisik menghasilkan nol informasi yang dapat digunakan.

Perutean Multihop

Pengguna dapat mengarahkan lalu lintas melalui 2 server VPN terpisah di negara berbeda. Ini menambah lapisan enkripsi kedua dan memisahkan titik masuk dari titik keluar. Multihop dapat dikonfigurasi langsung dalam aplikasi tanpa pengaturan manual.

Pertanyaan yang Sering Diajukan

Apakah Mullvad Menyimpan Log?

Mullvad menyimpan nol log persisten. Tidak ada log lalu lintas, stempel waktu koneksi, alamat IP, atau data sesi menyentuh penyimpanan disk. Dua audit independen memverifikasi klaim ini. Infrastruktur server RAM-only memastikan bahkan data sementara menghilang pada reboot. Penyerbuan polisi Mullvad 2023 mengkonfirmasi bahwa tidak ada data pengguna yang ada untuk disita.

Apakah Mullvad Telah Diretas?

Mullvad belum diretas. Tidak ada pelanggaran data atau peristiwa akses tidak sah yang telah dilaporkan secara publik atau ditemukan selama audit. Sistem akun tanpa sandi dan server RAM-only mengurangi permukaan serangan di bawah penyedia VPN khas. Cure53 menemukan tidak ada kerentanan kritis selama audit 2020 atau 2023.

Apakah Mullvad Dapat Dipercaya?

Mullvad menunjukkan kepercayaan melalui audit independen berulang, transparansi laporan lengkap, dan tes hukum dunia nyata. Perusahaan menerbitkan kode sumbernya secara terbuka di GitHub. Ia menerima pembayaran uang tunai anonim. Ia bertahan dari pencarian polisi tanpa menghasilkan data apa pun. Tindakan terverifikasi ini membawa bobot lebih besar daripada janji pemasaran.

Bisakah Mullvad Melihat Data Saya?

Mullvad tidak dapat melihat data browsing Anda. Lalu lintas di dalam terowongan VPN menggunakan enkripsi AES-256 atau ChaCha20. Server Mullvad memproses paket terenkripsi tetapi tidak menginspeksi, merekam, atau menyimpan konten. Arsitektur RAM-only mencegah data pemrosesan sementara apa pun dari bertahan melampaui sesi aktif.

Garis Bawah tentang Keamanan Mullvad

Mullvad memperoleh skor kepercayaan 86/100 melalui arsitektur, bukan janji. Server RAM-only, anonimitas akun, laporan audit yang dipublikasikan, dan hasil penyerbuan polisi yang terverifikasi membedakannya. Tarif datar €5/bulan tanpa uji coba atau diskon mencerminkan perusahaan yang fokus pada layanan daripada volume pelanggan. Bagi pengguna yang memprioritaskan verifikasi privasi daripada jumlah fitur, Mullvad tetap menjadi salah satu opsi terkuat yang tersedia di 700+ servernya di 50+ negara.