Ongeveer een kwart van de internetgebruikers gebruikt een virtueel particulier netwerk, een software-installatie die een veilige, versleutelde dataverbinding tussen hun eigen computer en een andere elders op internet. Veel mensen gebruiken ze om hun privacy te beschermen bij het gebruik van Wi-Fi-hotspots, of om veilig verbinding te maken met werkpleknetwerken tijdens het reizen. Andere gebruikers maken zich zorgen over toezicht door overheden en internetproviders.

Veel VPN-bedrijven beloven sterke codering te gebruiken om gegevens te beveiligen, en zeggen dat ze de privacy van gebruikers beschermen door geen gegevens op te slaan over waar mensen toegang krijgen tot de service of wat ze doen terwijl ze verbonden zijn. Als alles werkte zoals het moest, iemand die op de computer van de persoon snuffelt, ziet niet al hun internetactiviteit - alleen een onverstaanbare verbinding met die ene computer. Alle bedrijven, regeringen of hackers die het algemene internetverkeer bespioneren, kunnen op kantoor nog steeds een computer zien die gevoelige informatie verzendt of op Facebook surft, maar zou denken dat die activiteit plaatsvond op een andere computer dan degene die de persoon echt gebruikt.

Echter, de meeste mensen – inclusief VPN-klanten – hebben niet de vaardigheden om te controleren of ze krijgen waarvoor ze hebben betaald. Een groep onderzoekers waar ik deel van uitmaakte, heeft die vaardigheden, en uit ons onderzoek van de diensten van 200 VPN-bedrijven bleek dat velen van hen klanten misleiden over belangrijke aspecten van hun gebruikersbescherming.

Consumenten tasten in het duister

Uit ons onderzoek bleek dat het voor VPN-klanten erg moeilijk is om onbevooroordeelde informatie te krijgen. Veel VPN-providers betalen beoordelingssites en blogs van derden om hun diensten te promoten door positieve recensies te schrijven en ze hoog te rangschikken in branche-enquêtes. Deze komen neer op advertenties voor mensen die overwegen VPN-services te kopen, in plaats van onafhankelijke en onpartijdige beoordelingen. We hebben 26 beoordelingswebsites bestudeerd; 24 van hen kregen een vorm van smeergeld voor positieve recensies.

Een typisch voorbeeld was een site met honderden VPN-bedrijven die meer dan 90 procent van hen beoordeelden als 4 van de 5 of hoger. Dit is niet illegaal, maar het vertekent evaluaties die onafhankelijk zouden kunnen zijn. Het maakt de concurrentie ook veel moeilijker voor nieuwere en kleinere VPN-providers die misschien een betere service hebben, maar lagere budgetten om te betalen voor goede publiciteit.

Vaag over gegevensprivacy

We hebben ook geleerd dat VPN-bedrijven niet altijd veel doen om de gegevens van gebruikers te beschermen, ondanks de reclame die ze doen. Van de 200 bedrijven die we hebben bekeken, 50 had helemaal geen privacybeleid online geplaatst - ondanks de wetten die hen daartoe verplichten.

De bedrijven die wel privacybeleid hebben gepost, verschilden sterk in hun beschrijvingen van hoe ze met gebruikersgegevens omgaan. Sommige beleidsregels waren zo kort als 75 woorden, een verre schreeuw van de juridische documenten van meerdere pagina's die standaard zijn op bank- en sociale-mediasites. Anderen bevestigden niet formeel wat hun advertenties suggereerden, ruimte laten om gebruikers te bespioneren, zelfs nadat ze hebben beloofd dat niet te doen.

Lekkend of bewakend verkeer

Een groot deel van de veiligheid van een VPN hangt af van het verzekeren dat al het internetverkeer van de gebruiker via een versleutelde verbinding tussen de computer van de gebruiker en de VPN-server verloopt. Maar de software is door mensen geschreven, en mensen maken fouten. Toen we 61 VPN-systemen testten, we vonden programmeer- en configuratiefouten in 13 van hen waardoor internetverkeer buiten de versleutelde verbinding kon reizen - het doel van het gebruik van een VPN teniet en de online activiteit van de gebruiker blootgesteld aan externe spionnen en waarnemers.

Ook, omdat VPN-bedrijven dat kunnen, als ze kiezen, alle online activiteiten van hun gebruikers volgen, we hebben gecontroleerd of iemand dat deed. We ontdekten dat zes van de 200 VPN-services die we hebben onderzocht, daadwerkelijk het verkeer van gebruikers monitoren. Dit is iets anders dan per ongeluk lekken, omdat het actief kijken naar de activiteit van gebruikers inhoudt - en mogelijk gegevens bewaren over wat gebruikers doen.

Aangemoedigd door advertenties die gericht zijn op privacy, gebruikers vertrouwen erop dat deze bedrijven dit niet doen, en niet om te delen wat ze vinden met gegevensmakelaars, reclamebedrijven en politie of andere overheidsinstanties. Toch verplichten deze zes VPN-bedrijven zich wettelijk niet om gebruikers te beschermen, ongeacht hun beloften.

Liegen over locaties

Een enorm verkoopargument voor veel VPN's is dat ze beweren klanten in staat te stellen verbinding te maken met internet alsof ze zich in andere landen bevinden dan waar ze zich werkelijk bevinden. Sommige gebruikers doen dit om copyrightbeperkingen te vermijden, hetzij illegaal, hetzij quasi-legaal, zoals het kijken naar Amerikaanse Netflix-shows terwijl u op vakantie bent in Europa. Anderen doen dit om censuur of andere nationale regels voor internetactiviteiten te vermijden.

We hebben gevonden, Hoewel, dat die beweringen over internationale aanwezigheid niet altijd waar zijn. Onze vermoedens werden voor het eerst gewekt toen we VPN's zagen die beweerden mensen internet te laten gebruiken alsof ze in Iran waren, Noord-Korea en kleinere eilandgebieden zoals Barbados, Bermuda en Kaapverdië – plaatsen waar het erg moeilijk is om toegang tot internet te krijgen, zo niet onmogelijk voor buitenlandse bedrijven.

Toen we het onderzochten, we ontdekten dat sommige VPN's die beweren een groot aantal verschillende internetverbindingen te hebben, eigenlijk maar een paar servers hebben die in een aantal landen zijn geclusterd. Uit ons onderzoek bleek dat ze internetrouteringsrecords manipuleren, zodat ze service op andere locaties lijken te bieden. We hebben ten minste zes VPN-services gevonden die beweren hun verkeer door het ene land te leiden, maar het echt door een ander land te sturen. Afhankelijk van de activiteit van de gebruiker en de wetten van het land, dit kan illegaal of zelfs levensbedreigend zijn, maar het is op zijn minst misleidend.

Richtlijnen voor VPN-gebruikers

Technisch ingestelde klanten die nog steeds geïnteresseerd zijn in VPN's, kunnen overwegen om hun eigen servers op te zetten, ofwel met behulp van cloud computing-services of hun internetverbinding thuis. Mensen met wat minder technisch comfort kunnen overwegen om de Tor-browser te gebruiken, een netwerk van met internet verbonden computers die de privacy van de gebruikers helpen beschermen.

Die methoden zijn moeilijk en kunnen traag zijn. Bij het selecteren van een commerciële VPN-service, ons beste advies, geïnformeerd door ons onderzoek, is om het privacybeleid van de site aandachtig te lezen, en koop korte abonnementen, misschien van maand tot maand, in plaats van langere, dus het is makkelijker om over te stappen als je iets beters vindt.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.