(Nguồn ảnh: Getty Images)
Vào cuối năm 2025, Mullvad, một trong những dịch vụ VPN tốt nhất về bảo mật, đã ủy thác một cuộc kiểm toán an ninh toàn diện đối với các dịch vụ tài khoản và thanh toán của mình để chứng minh tính mạnh mẽ và toàn vẹn của các hệ thống phụ trợ quan trọng này.
Cuộc kiểm toán của X41 D-Sec đã xem xét các thành phần của Mullvad quản lý xác thực người dùng, cấp phép thiết bị, xử lý thanh toán và phân phối khóa WireGuard, tất cả đều là những phần cốt lõi giúp giữ an toàn cho dịch vụ VPN của Mullvad đối với người đăng ký.
Kết quả được công bố công khai xác nhận tính bảo mật của nền tảng, với X41 xác định được năm vấn đề liên quan đến bảo mật: ba vấn đề mức độ nghiêm trọng trung bình và hai vấn đề mức độ nghiêm trọng thấp.
Điều quan trọng là, không có vấn đề nào cho phép kẻ tấn công truy cập dữ liệu người dùng hoặc làm suy yếu các đảm bảo về quyền riêng tư của Mullvad.
Những phát hiện của cuộc kiểm toán – và những điều mà cuộc kiểm toán không phát hiện ra.
Cuộc kiểm toán do công ty an ninh mạng X41 D-Sec của Đức thực hiện tập trung cụ thể vào hệ thống tài khoản và thanh toán của Mullvad.
Việc này bao gồm các API chịu trách nhiệm tạo tài khoản, xác thực, quản lý thiết bị, đổi mã giảm giá và phân phối khóa WireGuard. Được thực hiện như một đánh giá hộp trắng, cuộc kiểm tra cho phép các kiểm toán viên toàn quyền truy cập vào mã nguồn, cấu hình và kiến trúc hệ thống.
X41 đã xác định tổng cộng năm phát hiện liên quan đến bảo mật, trong đó ba phát hiện được đánh giá là mức độ nghiêm trọng trung bình và hai phát hiện là mức độ nghiêm trọng thấp. Không có vấn đề nào trong số này cho phép truy cập trái phép vào tài khoản người dùng hoặc làm lộ dữ liệu cá nhân, cũng như không làm suy yếu mô hình bảo mật của Mullvad.
Vấn đề đáng chú ý nhất là tình trạng tranh chấp tài nguyên trong quá trình xử lý phiếu giảm giá, cho phép một phiếu giảm giá được sử dụng nhiều hơn một lần trong những trường hợp cụ thể.
Một số phát hiện trong báo cáo đã được lược bỏ để tránh gây gián đoạn dịch vụ. Ngoài việc chỉ ra các lỗ hổng, các kiểm toán viên còn đưa ra các khuyến nghị mang tính thông tin nhằm tăng cường bảo mật hệ thống hơn nữa.
Những cải tiến này bao gồm việc nâng cao cơ chế xác thực nội bộ và đơn giản hóa cấu hình.
Điều này có nghĩa gì đối với người dùng Mullvad?
Mullvad đã tự khẳng định rằng cuộc kiểm toán này xác nhận tính hiệu quả của hệ thống tài khoản và thanh toán của họ, dựa trên công việc đã được thực hiện sau cuộc kiểm toán trước đó vào năm 2023 .
Cuộc kiểm toán phản ánh cam kết liên tục của Mullvad đối với tính minh bạch và các biện pháp bảo mật chủ động – điều mà công ty đã duy trì thông qua các đánh giá bên ngoài thường xuyên về hệ thống phụ trợ và ứng dụng của mình, cũng như chính sách không lưu nhật ký hoạt động .
Thực tế, các cuộc kiểm toán trước đây cũng đã báo cáo về hệ thống bảo mật mạnh mẽ, chỉ phát hiện ra một số vấn đề nhỏ trước khi chúng được khắc phục kịp thời.
Đối với người dùng hiện tại và tiềm năng của Mullvad, những kết quả này củng cố danh tiếng của Mullvad với tư cách là nhà cung cấp VPN đặt quyền riêng tư lên hàng đầu, không chỉ hứa hẹn bảo vệ dữ liệu mạnh mẽ mà còn chứng minh những lời hứa đó thông qua đánh giá đáng tin cậy từ bên thứ ba.
