Ungefär en fjärdedel av internetanvändarna använder ett virtuellt privat nätverk, en mjukvaruinstallation som skapar en säker, krypterad dataanslutning mellan sin egen dator och en annan annanstans på internet. Många människor använder dem för att skydda sin integritet när de använder Wi-Fi-hotspots, eller för att säkert ansluta till arbetsplatsens nätverk när du reser. Andra användare är oroliga över övervakning från regeringar och internetleverantörer.

Många VPN-företag lovar att använda stark kryptering för att säkra data, och säger att de skyddar användarnas integritet genom att inte lagra uppgifter om var människor kommer åt tjänsten eller vad de gör när de är anslutna. Om allt fungerade som det skulle, någon som snokar på personens dator skulle inte se all deras internetaktivitet – bara en oförståelig anslutning till den där datorn. Alla företag, regeringar eller hackare som spionerar på den totala internettrafiken kan fortfarande upptäcka en dator som sänder känslig information eller surfar på Facebook på kontoret – men skulle tro att aktiviteten ägde rum på en annan dator än den personen verkligen använder.

Dock, de flesta människor – inklusive VPN-kunder – har inte kompetensen att dubbelkolla att de får vad de betalat för. En grupp forskare som jag var en del av har de kunskaperna, och vår granskning av tjänsterna som tillhandahålls av 200 VPN-företag fann att många av dem vilseledde kunder om viktiga aspekter av deras användarskydd.

Konsumenterna är i mörkret

Vår forskning visade att det är mycket svårt för VPN-kunder att få opartisk information. Många VPN-leverantörer betalar tredje parts recensionssajter och bloggar för att marknadsföra sina tjänster genom att skriva positiva recensioner och ranka dem högt i branschundersökningar. Dessa uppgår till annonser till personer som överväger att köpa VPN-tjänster, snarare än oberoende och opartiska recensioner. Vi studerade 26 recensionswebbplatser; 24 av dem fick någon form av returbetalning för positiva recensioner.

Ett typiskt exempel var en webbplats som listar hundratals VPN-företag som rankade mer än 90 procent av dem som 4 av 5 eller högre. Detta är inte olagligt, men det snedvrider utvärderingar som kan vara oberoende. Det gör också konkurrensen mycket svårare för nyare och mindre VPN-leverantörer som kan ha bättre service men lägre budget att betala för bra publicitet.

Vaga om datasekretess

Vi lärde oss också att VPN-företag inte alltid gör mycket för att skydda användarnas data, trots att de gör reklam. Av de 200 företag vi tittade på, 50 hade ingen integritetspolicy publicerad på nätet alls – trots lagar som kräver att de gör det.

De företag som publicerade sekretesspolicyer varierade mycket i sina beskrivningar av hur de hanterar användarnas data. Vissa policyer var så korta som 75 ord, långt ifrån standarden för flersidiga juridiska dokument på bank- och sociala medier. Andra bekräftade inte formellt vad deras annonser föreslog, lämnar utrymme att spionera på användare även efter att ha lovat att inte göra det.

Läckage eller övervakning av trafik

Mycket av säkerheten för ett VPN beror på att se till att all användarens internettrafik går via en krypterad anslutning mellan användarens dator och VPN-servern. Men programvaran är skriven av människor, och människor gör misstag. När vi testade 61 VPN-system, vi hittade programmerings- och konfigurationsfel i 13 av dem som gjorde att internettrafik kunde färdas utanför den krypterade anslutningen – vilket motverkade syftet med att använda ett VPN och lämnade användarens onlineaktivitet utsatt för utomstående spioner och observatörer.

Också, eftersom VPN-företag kan, om de väljer, övervaka all onlineaktivitet som deras användare ägnar sig åt, vi kollade om någon gjorde det. Vi fann att sex av de 200 VPN-tjänster vi studerade faktiskt övervakade användarnas trafik själva. Detta skiljer sig från oavsiktligt läckage, eftersom det handlar om att aktivt titta på användarnas aktivitet – och eventuellt behålla data om vad användarna gör.

Uppmuntras av annonser som fokuserar på integritet, användare litar på att dessa företag inte gör detta, och inte dela vad de hittar med datamäklare, reklamföretag och polis eller andra statliga myndigheter. Ändå förbinder sig dessa sex VPN-företag inte lagligt att skydda användare, oavsett deras löften.

Ljuger om platser

Ett stort försäljningsargument för många VPN är att de hävdar att de tillåter kunder att ansluta till internet som om de befann sig i andra länder än där de verkligen är. Vissa användare gör detta för att undvika upphovsrättsbegränsningar, antingen olagligt eller nästan lagligt, som att titta på amerikanska Netflix-program när du är på semester i Europa. Andra gör detta för att undvika censur eller andra nationella regler som styr internetaktiviteter.

Vi hittade, fastän, att dessa påståenden om internationell närvaro inte alltid är sanna. Våra misstankar väcktes först när vi såg VPN:er som påstod sig låta människor använda internet som om de var i Iran, Nordkorea och mindre öterritorier som Barbados, Bermuda och Kap Verde – platser där det är mycket svårt att få tillgång till internet, om inte omöjligt för utländska företag.

När vi undersökte, vi hittade några VPN som hävdar att de har ett stort antal olika internetanslutningar egentligen bara har ett fåtal servrar samlade i ett par länder. Vår studie fann att de manipulerar routingposter på internet så att de verkar tillhandahålla tjänster på andra platser. Vi hittade minst sex VPN-tjänster som påstår sig dirigera sin trafik genom ett land men verkligen förmedlar den genom ett annat. Beroende på användarens aktivitet och landets lagar, detta kan vara olagligt eller till och med livshotande – men det är åtminstone missvisande.

Riktlinjer för VPN-användare

Tekniskt sinnade kunder som fortfarande är intresserade av VPN kan överväga att sätta upp sina egna servrar, antingen med hjälp av molntjänster eller deras internetanslutning hemma. Människor med lite mindre teknisk komfort kan överväga att använda Tor-webbläsaren, ett nätverk av internetanslutna datorer som hjälper till att skydda användarnas integritet.

Dessa metoder är svåra och kan vara långsamma. När du väljer en kommersiell VPN-tjänst, vårt bästa råd, informerad av vår forskning, är att läsa webbplatsens sekretesspolicy noggrant, och köp korta prenumerationer, kanske månad för månad, snarare än längre, så det är lättare att byta om du hittar något bättre.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.