Mullvad Có An Toàn Không? Phân Tích Bảo Mật, Quyền Riêng Tư & Kiểm Toán

Mullvad Có An Toàn Không? Đánh Giá Trực Tiếp

Mullvad đạt 86/100 trên chỉ số tin cậy của chúng tôi. Nó hoạt động dưới quyền tài phán của Thụy Điển, tính phí cố định €5/tháng mà không cần tài khoản, và thực thi chính sách no-logs được xác minh. Các kiểm toán độc lập của Cure53 và Assured AB xác nhận lỗ hổng tối thiểu. Mullvad lưu trữ không có nhật ký kết nối, dữ liệu lưu thông hoặc thông tin nhận dạng cá nhân trên 700+ máy chủ của nó trên 50+ quốc gia.

Quyền Tài Phán Thụy Điển và Yêu Cầu Dữ Liệu Pháp Lý

Thụy Điển thuộc liên minh chia sẻ thông tin mục 14 Eyes. Nghe qua có vẻ đáng lo ngại lúc đầu. Trên thực tế, khung pháp lý kể cho chúng tôi một câu chuyện phức tạp hơn cho các nhà cung cấp VPN.

Luật Thụy Điển không yêu cầu các công ty VPN phải lưu giữ dữ liệu người dùng. Mullvad không có nghĩa vụ lưu giữ dữ liệu bắt buộc dưới các quy định viễn thông hiện tại của Thụy Điển. Điều này có nghĩa là các cơ quan có thể đưa ra yêu cầu, nhưng Mullvad không có gì được lưu trữ để giao.

Vào tháng 4 năm 2023, cảnh sát Thụy Điển vào phòng văn phòng Mullvad ở Gothenburg với lệnh khám xét. Các sĩ quan dự định tịch thu các máy tính chứa dữ liệu khách hàng. Nhân viên Mullvad giải thích rằng không có dữ liệu khách hàng nào tồn tại trên bất kỳ máy nào, và cảnh sát rời đi với tay trắng. Bài kiểm tra trong thế giới thực đó đã chứng minh chính sách no-logs được duy trì dưới áp lực pháp lý.

Lịch Sử Kiểm Toán Độc Lập

Mullvad đã hoàn thành nhiều cuộc kiểm toán bảo mật của bên thứ ba. Mỗi cuộc kiểm toán đã kiểm tra các phần khác nhau của cơ sở hạ tầng và các ứng dụng máy khách.

Kiểm Toán Cure53 (2020)

Cure53, một công ty kiểm tra thâm nhập có trụ sở tại Berlin, đã kiểm toán các ứng dụng Mullvad VPN vào năm 2020. Nhóm đã xác định 7 lỗ hổng tổng cộng: 2 được xếp mức độ trung bình, 5 được xếp mức độ thấp. Mullvad đã vá tất cả 7 vấn đề trước khi công bố báo cáo kiểm toán đầy đủ công khai trên trang web của nó.

Kiểm Toán Assured AB (2023)

Assured AB đã tiến hành kiểm toán cơ sở hạ tầng của các máy chủ Mullvad và hệ thống nội bộ vào năm 2023. Đánh giá bao gồm cấu hình máy chủ, triển khai mã hóa và các quy trình xử lý dữ liệu. Kết quả xác nhận rằng cơ sở hạ tầng của Mullvad phù hợp với các yêu cầu no-logs công khai của nó. Không có lỗ hổng quan trọng nào được phát hiện trong quá trình tham gia này.

Kiểm Toán Ứng Dụng Cure53 (2023)

Cure53 quay trở lại cho một vòng thứ hai vào năm 2023, tập trung vào mã ứng dụng được cập nhật. Cuộc theo dõi này phát hiện ít vấn đề hơn kiểm toán năm 2020. Mullvad đã giải quyết tất cả các kết quả và một lần nữa phát hành báo cáo hoàn chỉnh để xem xét công khai.

Xuất bản báo cáo kiểm toán đầy đủ là không phổ biến trong ngành VPN. Mullvad không che đi các kết quả hoặc lựa chọn các kết quả thuận lợi. Tính minh bạch đó thêm trọng lượng đáng kể cho các yêu cầu bảo mật của nó.

Chính Sách Ghi Nhật Ký: Mullvad Lưu Trữ Gì và Không Lưu Trữ Gì

Dữ Liệu Mullvad Không Thu Thập

Mullvad không ghi nhật ký dữ liệu lưu thông, dấu thời gian kết nối, thời lượng phiên hoặc địa chỉ IP. Nó không lưu trữ các truy vấn DNS, hồ sơ sử dụng băng thông hoặc các phép gán máy chủ VPN. Hoạt động tài khoản vẫn hoàn toàn không liên quan đến hành vi duyệt web hoặc siêu dữ liệu kết nối.

Dữ Liệu Mullvad Xử Lý

Mullvad xử lý tổng số kết nối đồng thời cho mỗi tài khoản (giới hạn ở 5). Bộ đếm này tồn tại trong thời gian thực và không được ghi vào bất kỳ bộ nhớ liên tục nào. Khi bạn ngắt kết nối, bộ đếm đó sẽ giảm. Không có hồ sơ lịch sử nào tồn tại.

Mullvad cũng xử lý dữ liệu tải máy chủ tổng hợp ngắn hạn để tối ưu hóa hiệu suất. Dữ liệu này chứa không có thông tin nhận dạng người dùng nào và xoay vòng tự động.

Hệ Thống Tài Khoản

Mullvad tạo ra một số tài khoản ngẫu nhiên gồm 16 chữ số. Không có email, không có tên, không có mật khẩu bắt buộc. Bạn có thể trả tiền bằng tiền mặt gửi qua đường bưu điện, Bitcoin hoặc Monero. Thiết kế này loại bỏ hoàn toàn thông tin nhận dạng cá nhân khỏi quy trình đăng ký.

Tiêu Chuẩn Mã Hóa và Giao Thức

Mullvad hỗ trợ hai giao thức: WireGuard và OpenVPN. Cả hai triển khai đều sử dụng các tiêu chuẩn mã hóa mạnh mẽ, được xem xét kỹ lưỡng.

Triển Khai WireGuard

WireGuard sử dụng ChaCha20 để mã hóa đối xứng, Curve25519 để trao đổi khóa và BLAKE2s để băm. Mullvad mặc định WireGuard trên tất cả các nền tảng. Bắt tay kết nối hoàn thành trong vài mili giây trên hầu hết các mạng.

Triển Khai OpenVPN

Các kết nối OpenVPN sử dụng AES-256-GCM để mã hóa kênh dữ liệu. Trao đổi khóa dựa trên chứng chỉ RSA-4096 với xác thực SHA-512. Mullvad cấu hình OpenVPN với tls-auth để ngăn chặn dấu vân tay và các cuộc tấn công DDoS trên đường hầm VPN.

Đường Hầm Chống Lượng Tử

Mullvad đã thêm trao đổi khóa chống lượng tử vào các đường hầm WireGuard vào năm 2023. Tính năng này lớp Classic McEliece và Kyber key encapsulation trên mật mã WireGuard tiêu chuẩn. Mullvad là VPN thương mại đầu tiên triển khai tính năng này trên các nền tảng máy tính để bàn.

Bảo Vệ Kill Switch và Rò Rỉ DNS

Hành Động Kill Switch

Kill switch của Mullvad kích hoạt theo mặc định trên tất cả các nền tảng. Nó chặn tất cả lưu thông Internet khi đường hầm VPN bị hỏng bất ngờ. Triển khai hoạt động ở cấp tường lửa, không phải ở cấp ứng dụng. Điều này ngăn chặn rò rỉ ngay cả khi ứng dụng Mullvad bị sập hoàn toàn.

Trên Linux, Mullvad sử dụng các quy tắc nftables để thực thi chặn lưu thông. Trên Windows, nó sửa đổi Windows Filtering Platform. Trên macOS, nó sử dụng các quy tắc bộ lọc gói. Mỗi triển khai ngăn chặn cả rò rỉ IPv4 và IPv6 cùng lúc.

Bảo Vệ Rò Rỉ DNS

Mullvad định tuyến tất cả các truy vấn DNS thông qua các máy chủ DNS được mã hóa của riêng nó. Ứng dụng chặn các yêu cầu DNS hệ thống cố gắng bỏ qua đường hầm. Mullvad vận hành các máy chủ DNS trên mọi vị trí máy chủ VPN, giải quyết các truy vấn cục bộ mà không chuyển tiếp cho bên thứ ba.

Người dùng cũng có thể cấu hình DNS tùy chỉnh trong ứng dụng. Thậm chí với DNS tùy chỉnh, các truy vấn vẫn di chuyển bên trong đường hầm được mã hóa. Các bài kiểm tra rò rỉ độc lập liên tục cho thấy không có rò rỉ DNS, WebRTC hoặc IPv6 trên tất cả các máy khách Mullvad.

Các Sự Cố Bảo Mật Trong Quá Khứ

Cuộc Đột Kích Cảnh Sát (Tháng 4 năm 2023)

Sáu sĩ quan từ Cảnh Sát Quốc Gia Thụy Điển vào văn phòng Mullvad ở Gothenburg. Họ mang theo lệnh tòa án quận tìm kiếm thông tin khách hàng. Giám đốc điều hành của Mullvad giải thích công ty không lưu trữ dữ liệu khách hàng. Cảnh sát không tịch thu bất kỳ thiết bị nào và rời đi sau khi đội pháp lý của Mullvad thách thức khả năng áp dụng của lệnh khám xét.

Không Có Vụ Vi Phạm Dữ Liệu Được Biết Đến

Tính đến chu kỳ kiểm toán mới nhất, Mullvad đã báo cáo không có vụ vi phạm dữ liệu. Không có dữ liệu người dùng nào xuất hiện trong các cơ sở dữ liệu bị rò rỉ. Không có các cuộc tấn công nhập mật khẩu áp dụng vì Mullvad không sử dụng mật khẩu hoặc địa chỉ email. Hệ thống số tài khoản 16 chữ số giới hạn bề mặt tấn công đáng kể.

Công Khai Lỗ Hổng

Mullvad duy trì một phương pháp tiếp cận tiền thưởng bug tích cực và công bố các cảnh báo bảo mật trên blog của nó. Tất cả các lỗ hổng được tìm thấy trong quá trình kiểm toán nhận các bản vá trong vòng vài tuần kể từ khi phát hiện. Công ty chưa từng trải qua bất kỳ khai thác zero-day nào của cơ sở hạ tầng sản xuất của nó.

Các Tính Năng Bảo Mật Duy Nhất

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad phát triển DAITA để chống lại các cuộc tấn công phân tích lưu thông. Tính năng này đệm các gói thành kích thước đồng nhất và tiêm các mẫu lưu thông giả. Nó ngăn chặn các đối thủ xác định những trang web nào mà người dùng truy cập dựa trên dấu vân tay lưu thông.

DNS Được Mã Hóa Qua HTTPS (DoH)

Mullvad cung cấp dịch vụ DoH công khai tại dns.mullvad.net. Người dùng có thể mã hóa các truy vấn DNS ngay cả khi VPN không chạy. Dịch vụ bao gồm các hồ sơ DNS chặn quảng cáo và chặn trình theo dõi tùy chọn.

Máy Chủ Chỉ Có RAM Không Có Đĩa

Mullvad chạy toàn bộ hồ sơ máy chủ của nó ở chế độ chỉ RAM. Không có ổ cứng nào tồn tại trong các máy chủ. Mỗi lần khởi động lại xóa tất cả dữ liệu hoàn toàn. Kiến trúc này đảm bảo rằng việc tịch thu máy chủ vật lý không mang lại thông tin có thể sử dụng được.

Định Tuyến Multihop

Người dùng có thể định tuyến lưu thông thông qua 2 máy chủ VPN riêng biệt ở các quốc gia khác nhau. Điều này thêm lớp mã hóa thứ hai và tách điểm vào khỏi điểm thoát. Multihop có thể cấu hình trực tiếp trong ứng dụng mà không cần thiết lập thủ công.

Các Câu Hỏi Thường Gặp

Mullvad Có Giữ Nhật Ký Không?

Mullvad không giữ nhật ký liên tục. Không có nhật ký lưu thông, dấu thời gian kết nối, địa chỉ IP hoặc dữ liệu phiên nào chạm vào lưu trữ đĩa. Hai cuộc kiểm toán độc lập đã xác minh yêu cầu này. Kiến trúc máy chủ chỉ RAM đảm bảo thậm chí dữ liệu tạm thời cũng biến mất khi khởi động lại. Cuộc đột kích cảnh sát Mullvad năm 2023 xác nhận rằng không có dữ liệu người dùng nào tồn tại để tịch thu.

Mullvad Đã Bị Hack Chưa?

Mullvad chưa bị hack. Không có vụ vi phạm dữ liệu hoặc sự cố truy cập trái phép nào được báo cáo công khai hoặc khám phá trong quá trình kiểm toán. Hệ thống tài khoản không có mật khẩu và các máy chủ chỉ RAM giảm bề mặt tấn công dưới các nhà cung cấp VPN điển hình. Cure53 không phát hiện lỗ hổng quan trọng nào trong quá trình kiểm toán 2020 hoặc 2023.

Mullvad Có Đáng Tin Cậy Không?

Mullvad thể hiện tính đáng tin cậy thông qua các cuộc kiểm toán độc lập lặp lại, tính minh bạch báo cáo đầy đủ và bài kiểm tra pháp lý trong thế giới thực. Công ty công bố mã nguồn của nó công khai trên GitHub. Nó chấp nhận thanh toán tiền mặt ẩn danh. Nó đã sống sót qua một cuộc tìm kiếm cảnh sát mà không mang lại bất kỳ dữ liệu nào. Những hành động được xác minh này mang trọng lượng lớn hơn những lời hứa tiếp thị.

Mullvad Có Thể Thấy Dữ Liệu Của Tôi Không?

Mullvad không thể thấy dữ liệu duyệt web của bạn. Lưu thông bên trong đường hầm VPN sử dụng mã hóa AES-256 hoặc ChaCha20. Các máy chủ của Mullvad xử lý các gói được mã hóa nhưng không kiểm tra, ghi lại hoặc lưu trữ nội dung. Kiến trúc chỉ RAM ngăn chặn bất kỳ dữ liệu xử lý tạm thời nào tồn tại ngoài phiên tích cực.

Kết Luận Cuối Cùng về Bảo Mật của Mullvad

Mullvad kiếm được điểm tin cậy 86/100 của nó thông qua kiến trúc, không phải lời hứa. Các máy chủ chỉ RAM, tính ẩn danh tài khoản, báo cáo kiểm toán được công bố và kết quả cuộc tìm kiếm cảnh sát được xác minh đặt nó ngoài. Mức giá cố định €5/tháng không có bản dùng thử hoặc giảm giá phản ánh một công ty tập trung vào dịch vụ thay vì khối lượng người đăng ký. Đối với những người dùng ưu tiên xác minh quyền riêng tư hơn số lượng tính năng, Mullvad vẫn là một trong những tùy chọn mạnh nhất có sẵn trên 700+ máy chủ của nó trên 50+ quốc gia.