Penelitian menunjukkan IP keluar bersama Mullvad masih dapat membantu mengidentifikasi pengguna
IP rotasi Mullvad mungkin kurang anonim daripada yang terlihat
Penelitian baru menunjukkan bahwa sistem IP keluar bersama Mullvad VPN, yang dirancang untuk mengurangi dampak negatif dari alamat VPN yang penuh, masih dapat digunakan untuk melakukan identifikasi pengguna dengan cara yang mungkin memengaruhi privasi.
Mullvad agak unik di antara penyedia VPN karena menawarkan beberapa IP keluar per server. Itu berarti dua orang yang terhubung ke server yang sama sering kali akan terlihat oleh situs web dengan alamat IP publik yang berbeda. Pengaturan ini dimaksudkan untuk menghindari masalah yang muncul ketika terlalu banyak pengguna ditempatkan di belakang satu IP, terutama pada layanan yang secara agresif memblokir atau membatasi lalu lintas VPN.
Namun penelitian menunjukkan bahwa IP keluar yang ditetapkan tidak dipilih secara acak setiap kali pengguna terhubung. Sebaliknya, IP tersebut dipilih secara deterministik berdasarkan kunci WireGuard pengguna, yang berputar setiap 1 sampai 30 hari kecuali klien pihak ketiga digunakan, dalam hal ini mungkin tidak pernah berputar.
Untuk menguji sistem, peneliti berulang kali mengubah kunci publik dan mengumpulkan IP keluar dari sembilan server, menghasilkan data untuk 3.650 kunci publik dalam semalam. Itu cukup untuk memetakan rentang IP keluar setiap server. Meskipun kombinasi yang mungkin di antara server-server itu berjumlah lebih dari 8,2 triliun, hasil yang diamati menyusut menjadi hanya 284 kombinasi.
Polanya bahkan lebih mencolok ketika peneliti mengubah IP keluar menjadi posisi dalam pool setiap server. Di antara 284 kombinasi tersebut, IP konsisten berada pada persentil yang sama dalam pool masing-masing — dalam satu kasus, persentil ke-81. Itu menunjukkan Mullvad tidak memilih IP secara acak, melainkan memilih IP keluar yang berdekatan secara terkoordinasi di seluruh server.
Dua server, cl-scl-wg-001 dan za-jnb-wg-002, berulang kali berbagi indeks IP yang sama di semua kombinasi yang diamati. Peneliti mengatakan kedua server tersebut memiliki ukuran pool 11, mengarah pada generator bilangan acak berbasis nilai awal (seed) sebagai mekanisme yang kemungkinan digunakan, dengan kunci publik atau alamat terowongan berperan sebagai nilai awal dan ukuran pool sebagai batas.
Implikasinya adalah bahwa meskipun IP keluar Mullvad bersifat bersama, mereka mungkin masih membentuk pola stabil yang dapat digunakan untuk mengidentifikasi atau melacak pengguna dari waktu ke waktu.
Sumber: