Klaim lokasi VPN tidak cocok dengan negara keluarnya trafik yang sebenarnya

 (ipinfo.io)
11 poin oleh GN⁺ 2025-12-14 | 2 komentar | Bagikan ke WhatsApp
  • Hasil analisis terhadap 20 VPN utama menunjukkan bahwa negara keluarnya trafik yang sebenarnya pada 17 layanan berbeda dari negara yang diklaim, dan banyak di antaranya menggunakan pusat data yang sama di AS atau Eropa
  • Dari pengukuran terhadap lebih dari 150.000 IP keluar VPN, ditemukan bahwa 38 negara bersifat ‘hanya virtual’, sehingga trafik sebenarnya tidak keluar dari negara tersebut
  • Hanya Mullvad, IVPN, dan Windscribe yang menunjukkan kecocokan penuh antara klaim dan lokasi nyata di semua negara, sementara sisanya memiliki ketidaksesuaian yang signifikan
  • ‘Lokasi virtual’ berarti VPN menampilkan seolah-olah berada di negara tertentu, padahal trafik sebenarnya keluar dari wilayah lain (misalnya Miami, London, dan sebagainya)
  • Kesenjangan antara klaim jumlah negara VPN dan lokasi fisik yang sebenarnya menimbulkan masalah transparansi dan kepercayaan, dan untuk mengatasinya IPinfo menggunakan pendekatan data pengukuran nyata berbasis ProbeNet

Hasil investigasi ketidaksesuaian lokasi VPN dalam skala besar

  • IPinfo menganalisis 20 VPN populer dan mengonfirmasi bahwa 17 di antaranya berbeda dari negara keluarnya trafik yang sebenarnya
    • Beberapa VPN mengklaim mendukung lebih dari 100 negara, tetapi pada kenyataannya hanya berbagi sejumlah kecil pusat data di AS dan Eropa
  • Sebanyak 150.000 IP keluar diukur berdasarkan 137 negara
    • 38 negara hanya virtual, artinya tidak ada satu pun VPN yang benar-benar mengeluarkan trafik dari negara tersebut
    • Hanya 3 VPN yang seluruh lokasi yang diklaimnya benar-benar bisa diverifikasi
    • Sekitar 8.000 kesalahan lokasi IP ditemukan dalam dataset yang sudah ada
  • Hasil pengukuran ProbeNet menunjukkan bahwa sebagian besar VPN memiliki jumlah negara nyata yang lebih sedikit daripada yang diklaim

Hasil pengukuran nyata per VPN

  • Perbandingan antara jumlah negara yang diklaim tiap VPN dan jumlah negara yang benar-benar terukur
    • Mullvad, IVPN, dan Windscribe memiliki 0% ketidaksesuaian, alias cocok sepenuhnya
    • NordVPN, ExpressVPN, CyberGhost, dan lainnya memiliki lebih dari setengah lokasi yang bersifat virtual atau tidak dapat diukur
    Iklan
  • Semakin banyak jumlah negara yang diklaim VPN, semakin tinggi pula rasio ketidaksesuaian, sehingga klaim ‘100+ negara’ sulit dipercaya

Arti lokasi virtual (Virtual Location)

  • Walaupun VPN menampilkan “Bahama” atau “Somalia”, trafik sebenarnya bisa keluar dari Miami, AS atau London, Inggris
    • Informasi registrasi IP juga, karena berbasis pelaporan mandiri, dapat ditampilkan sebagai “Country X”, tetapi pengukuran jaringan nyata menunjukkan negara yang berbeda
  • ProbeNet milik IPinfo memverifikasi lokasi berdasarkan RTT (round-trip time) nyata melalui lebih dari 1.200 titik pengukuran global
  • Dalam seluruh data, 97 negara bersifat virtual atau tidak dapat diukur, dan di antaranya 38 negara sepenuhnya hanya ada sebagai lokasi virtual

Studi kasus: Bahama dan Somalia

  • Bahama: NordVPN, ExpressVPN, PIA, FastVPN, dan IPVanish semuanya terukur mengeluarkan trafik dari AS
    • RTT berdasarkan Miami berada di kisaran 0,15~0,42 ms, yang mengindikasikan server sebenarnya berada di AS
  • Somalia: NordVPN dan ProtonVPN menampilkannya sebagai “Mogadishu”, tetapi trafik sebenarnya terukur berasal dari Nice, Prancis dan London, Inggris
    • RTT 0,33~0,37 ms mengonfirmasi bahwa server berada di Eropa
Iklan

Kesalahan pada dataset IP yang sudah ada

  • Penyedia data IP yang sudah ada menggunakan informasi berbasis pelaporan mandiri, sehingga mengikuti lokasi salah yang diklaim VPN begitu saja
  • Hasil perbandingan antara pengukuran ProbeNet dan dataset yang ada terhadap 736 IP keluar VPN:
    • 83% memiliki galat lebih dari 1.000 km, 28% lebih dari 5.000 km, dan 12% lebih dari 8.000 km
    • Galat median sekitar 3.100 km
  • ProbeNet menunjukkan RTT rata-rata 0,27 ms, dan 90% berada di bawah 1 ms, yang mengonfirmasi kedekatan dengan lokasi fisik sebenarnya

Masalah kepercayaan dan alasan teknis

  • Alasan teknis penggunaan lokasi virtual
    • Menghindari risiko regulasi dan pengawasan, perbedaan kualitas infrastruktur, serta pengurangan biaya dan peningkatan performa
  • Namun, masalah kepercayaan muncul karena hal berikut
    • Kurangnya pengungkapan eksplisit: tidak ditandai seperti “Virtual Bahamas (US-based)”
    • Masalah skala: puluhan negara sepenuhnya hanya ada sebagai lokasi virtual
    • Ketergantungan pada data: media, NGO, dan sistem keamanan berisiko mempercayai informasi lokasi yang salah
Iklan

Implikasi bagi pengguna

  • Label ‘100+ negara’ sebaiknya dianggap sebagai angka pemasaran
    • Pada 17 VPN, terdapat 97 negara yang sebenarnya tidak benar-benar ada
  • Perlu memeriksa cara VPN menampilkan lokasi: apakah menggunakan server virtual, dan apakah lokasi hosting sebenarnya diungkapkan
  • Saat menggunakan data IP, perlu memverifikasi sumbernya: bukan sekadar melihat angka akurasi, tetapi memastikan apakah datanya berbasis pengukuran nyata
  • Ini bukan semata soal masalah penggunaan VPN, melainkan penekanan pada pentingnya transparansi dan data berbasis bukti

Pendekatan berbasis pengukuran milik IPinfo

  • Penyedia data IP yang sudah ada bergantung pada informasi registrasi RIR dan data pelaporan mandiri
  • IPinfo mengadopsi metode pengukuran nyata berbasis ProbeNet
    1. Mengoperasikan lebih dari 1.200 PoP (titik pengukuran)
    2. Menentukan lokasi alamat IPv4 dan IPv6 melalui pengukuran real-time berbasis RTT
    3. Menghasilkan lokasi berdasarkan geodata berbasis bukti yang berpijak pada perilaku internet yang sebenarnya
  • Pendekatan ini bertujuan mengurangi kesalahan dari pelaporan mandiri dan memastikan akurasi yang berfokus pada data pengukuran nyata

Metodologi investigasi

  • Mengumpulkan lebih dari 6 juta titik data dari situs web, file konfigurasi, API, dan sumber lain milik 20 penyedia VPN
  • Terhubung langsung ke tiap lokasi VPN untuk mengukur IP keluar dan RTT
  • Membandingkan negara yang diklaim VPN dengan negara nyata yang diukur ProbeNet
  • Hanya lokasi yang diklaim secara jelas yang dimasukkan dalam analisis; kasus yang ambigu atau tidak dapat diukur dikecualikan
  • Hasilnya menunjukkan tingkat ketidaksesuaian yang tinggi bahkan dengan standar konservatif, dan jika memakai standar yang lebih longgar kemungkinan angkanya akan lebih tinggi lagi

Bacaan terkait

2 komentar

 
princox 2025-12-15

Wah, ternyata ada juga yang berbisnis dengan menipu soal seperti ini..;;; Banyak sekali masalahnya.
 
GN⁺ 2025-12-14
Komentar Hacker News

  • Saya adalah salah satu pendiri WonderProxy. Layanan kami bukan VPN konsumen, melainkan untuk pengujian aplikasi, jadi tidak masuk daftar
    Kami beroperasi di lebih dari 100 negara, dan ini benar-benar masalah besar. Di awal, sering ada penyedia yang mengklaim berada di Meksiko atau Amerika Selatan, padahal sebenarnya ada di Texas
    Kami sempat ingin membawa server sendiri ke Peru, tetapi urung setelah tahu bahwa kami harus membayar pajak penghasilan Peru atas pendapatan yang diperoleh secara lokal
    Ada pelanggan yang mengeluh karena pesaing menawarkan server di Timur Tengah, tetapi setelah diselidiki, ternyata jaraknya kurang dari 1 ms dari server di Jerman

  • Saya mengenal beberapa orang yang bekerja di Mullvad, dan mereka sangat serius soal keamanan dan privasi. Jadi hasil kali ini tidak mengejutkan

    • Dari balik GFW Tiongkok pun Mullvad, Windscribe, dan IVPN tetap berfungsi, sementara VPN yang lebih terkenal tidak. Rupanya di dunia VPN pun ada VPN yang benar-benar VPN
    • Bahkan sebelum membaca artikelnya, saya sudah yakin Mullvad akan lolos pengujian
    • Saya makin suka Mullvad semakin lama memakainya. VPN lain biasanya makin memburuk seiring waktu, tetapi yang ini justru sebaliknya. Saya terutama suka karena bisa menjaga anonimitas lewat pembayaran dompet kripto
    • Windscribe dan iVPN juga dinilai bagus, tetapi tulisan ini membahas pemasaran palsu oleh VPN. VPN tidak terlalu meningkatkan keamanan, tetapi berguna untuk menghindari sensor atau membuka pembatasan wilayah. Menurut saya jaringan khusus seperti Psiphon, Lantern, dan Tor lebih kuat

  • Saya warga negara suatu negara tetapi tinggal di negara lain, jadi saya sering memakai VPN. Bahkan untuk mengakses situs pemerintah pun saya tidak bisa tanpa VPN
    Situs badan statistik menampilkan 404 jika diakses dari IP asing, tetapi berfungsi normal saat VPN dinyalakan. Siaran pemilu juga memerlukan VPN
    Untuk pelaporan pajak, VPN justru diblokir jadi harus dimatikan, tetapi IP tempat tinggal luar negeri tetap diizinkan
    Jika ada VPN yang memakai IP residensial, saya bersedia membayar 30 euro per bulan. Namun, kebanyakan sulit dipercaya

    • Kalau Anda meninggalkan AppleTV yang terpasang Tailscale di rumah teman atau keluarga, Anda bisa memakainya sebagai exit node untuk terhubung. Saya juga melakukan itu
    • Saya juga berada dalam situasi yang sama, jadi saya membuat TunnelBuddy(https://tunnnelbuddy.net) sendiri. Berbasis WebRTC, jadi teman cukup membagikan kata sandi sekali saja, lalu Anda bisa memakai internet seolah-olah mengakses dari rumah mereka
    • Jika Anda punya teman di negara tersebut, memasang Raspberry Pi di belakang modem juga bisa menjadi cara
    • IP residensial biasanya tidak ditagih bulanan, melainkan per GB, jadi mahal. Biasanya lebih dari 2 dolar per 1GB
    • Cara lain adalah cukup memakai SIM roaming dari negara asal untuk mengakses situs pemerintah

  • Menarik bahwa lokasi server sebenarnya bisa diperkirakan dari latensi. Tetapi kalau VPN sengaja menambahkan latensi 100~300 ms, bukankah itu bisa mengelabui?
    Misalnya 74.118.126.204 diklaim sebagai IP Somalia, tetapi ipinfo.io mengidentifikasikannya sebagai London. Anda bisa membandingkan curl ipinfo.io/74.118.126.204/json dan curl ipwhois.app/json/74.118.126.204

    • Saya rasa waktu ping lebih dipengaruhi oleh jumlah hop dan kualitas koneksi daripada kecepatan cahaya
    • Sama seperti hash kata sandi bisa diperkirakan dari waktu respons server, noise tetaplah hanya noise
    • IPinfo mengirim ping secara bersamaan dari banyak wilayah dan menghitung lokasi dengan multilaterasi. Katanya mereka menjalankan lebih dari 600 server probe (sumber)
    • Sekalipun menambahkan latensi ke semua paket, pada akhirnya London tetap akan menunjukkan latensi terendah
    • Jika Anda mengirim ping dari beberapa negara, lokasi sebenarnya bisa diketahui lewat triangulasi

  • Sebagian besar penyedia VPN sebenarnya mengungkap bahwa itu adalah “lokasi virtual”. Jadi sulit dibilang sepenuhnya bohong
    Menarik juga memikirkan bagaimana standar penampilan lokasi geografis VPN seharusnya ditetapkan. Haruskah yang ditampilkan adalah lokasi server sebenarnya, atau negara yang dipilih pengguna?
    Menurut saya, yang kedua lebih berguna. Karena itu menunjukkan pengguna ingin ‘berada’ di mana
    (Sebagai catatan, saya mengelola layanan pesaing, dan kami juga menampilkan lokasi yang dilaporkan VPN, tetapi dengan penanda jelas bahwa itu VPN)

  • Saat pindah ke ProtonMail saya sempat memakai ProtonVPN, tetapi ketika VPN aktif, setengah dari situs web tidak berfungsi. Bahkan Hacker News pun memblokir VPN
    Situs-situs kini makin mudah mengenali endpoint VPN, jadi saya penasaran bagaimana VPN akan menghadapi hal ini ke depan

    • Apple bisa menekan situs agar mengizinkan koneksi lewat Private Relay. Jika VPN makin umum, pada akhirnya situs juga tak punya pilihan selain menerimanya
    • Jika pengguna VPN dan Tor makin banyak, situs akan makin sulit memblokir mereka. Dunia di mana semua orang memakai Tor adalah cita-cita yang ideal. Jika semua orang tampak sama, diskriminasi menjadi mustahil
    • Reddit akan memberi shadow ban jika VPN aktif. Tidak ada pemberitahuan, jadi kalau tidak ada yang merespons komentar Anda, Anda harus memeriksa profil lewat sesi privat
    • Tor juga sama. Ada anonimitas, tetapi pada saat yang sama Anda menjadi keberadaan yang mencolok
    • Jika penggunaan VPN meningkat, situs justru akan rugi. Terutama pengguna seluler sering membiarkan VPN selalu aktif
      Jika situs memblokir VPN, pengguna akan merasa repot lalu pergi.
      Menyamar sebagai user agent seluler bisa membantu. Sidik jari SSL dan HTTP juga harus dibuat tampak seperti perangkat seluler
      Sebaiknya hindari VPN yang punya tier gratis. Semakin berbayar VPN-nya, biasanya semakin baik reputasi IP

  • Saya kurang paham pengujian ini tepatnya melakukan apa. Aneh juga karena beberapa VPN besar tidak ikut
    Saya memakai AirVPN, karena cocok dengan tujuan penggunaan dan harganya
    Alasan orang memakai VPN bermacam-macam — privasi, anonimitas (tidak direkomendasikan), membuka pembatasan wilayah, torrent, menghindari sensor (GFC), dan lain-lain
    Yang terakhir itu yang paling sulit
    Tautan referensi: VPN Services Overview

    • Pengujian ini memeriksa lokasi sebenarnya dari node keluar VPN. Banyak penyedia hanya mengubah informasi WHOIS IP, sementara server aslinya berada di negara lain

  • Untuk menghindari firewall tingkat negara, lokasi exit node itu penting, tetapi industri GeoIP itu sendiri juga bermasalah
    Akan bagus jika ISP membantu pengguna menghindari pemblokiran wilayah melalui RFC8805

    • Dengan makin luasnya CGNAT, mungkin informasi lokasi per port akan dibutuhkan. Misalnya port 10000~20000 adalah New York, 20000~30000 adalah Boston, dan seterusnya
    • Ini terdengar seperti komentar dari orang yang belum pernah menghadapi sanksi OFAC. Bisnis saya bisa langsung berakhir jika melanggar sanksi.
      Informasi IP geografis adalah alat utama untuk menghindari risiko semacam itu
    • Akan bagus jika informasi ini bisa ditangani seperti rekaman PTR di DNS

  • Saya rasa terlalu berlebihan jika mengandalkan RTT (waktu tempuh bolak-balik) saja untuk menyimpulkan pengetahuan tentang jaringan backbone.
    Lalu lintas tidak selalu dirutekan secara efisien, dan jalur transmisi berubah tergantung volume trafik. Saya ingin tahu pendapat lain

    • Tidak perlu mengasumsikan routing yang efisien. Jika dari London RTT-nya kurang dari 1 ms, maka secara fisik tidak mungkin server itu berada di luar Inggris
      Karena batas kecepatan cahaya, RTT 0,4 ms berarti jarak maksimumnya 120 km. Dari situ bisa dipastikan server tidak berada di negara yang diklaimnya
    • Jika dihitung berdasarkan kecepatan cahaya, RTT di bawah 0,5 ms berarti negara yang terukur memang benar. Kecepatan di dalam serat optik lebih lambat karena pembiasan, jadi margin kesalahannya bahkan lebih kecil
    • Menanggapi komentar “mungkin saya melewatkan detail” — ya, sepertinya yang terlewat adalah fisika. Jika dari London muncul ping submilidetik, itu bukan Mauritius