Item: ExpressVPN
Rating: 68
Author: vpn.social

ExpressVPN didirikan pada tahun 2009 dan beroperasi di bawah yurisdiksi Kepulauan Virgin Britania Raya, yang tidak memiliki undang-undang penyimpanan data wajib. Pada September 2021, Kape Technologies mengakuisisi perusahaan ini seharga $936 juta — akuisisi VPN terbesar dalam sejarah. Latar belakang Kape menjadi hal sentral dalam mengevaluasi ExpressVPN: perusahaan ini beroperasi sebagai Crossrider dari tahun 2011 hingga 2018, menjalankan platform yang menyuntikkan iklan ke dalam ekstensi browser. Symantec menandai perangkat lunak Crossrider sebagai malware, dan Google mengidentifikasinya sebagai pendistribusi aplikasi yang berpotensi tidak diinginkan. Pemilik mayoritas Kape, Teddy Sagi, pernah menjalani hukuman penjara atas penipuan sekuritas pada tahun 1990-an. Kape juga memiliki CyberGhost, PIA, ZenMate, dan yang paling krusial, situs ulasan vpnMentor dan WizCase — yang kini menempatkan VPN milik Kape sendiri di posisi teratas.

Kontroversi Daniel Gericke menambahkan lapisan permasalahan lain. Direkrut sebagai CIO pada Desember 2019, Gericke sebelumnya terlibat dalam Project Raven — operasi pengawasan pemerintah UAE yang menargetkan warga negara AS, jurnalis asing, dan aktivis hak asasi manusia menggunakan eksploit zero-click. Ia didenda $335.000 oleh DOJ di bawah perjanjian penuntutan yang ditangguhkan. ExpressVPN mengakui mengetahui fakta-fakta kunci sebelum merekrutnya, dengan berargumen bahwa latar belakang adversarialnya meningkatkan keamanan defensif. Edward Snowden secara terbuka mempertanyakan penilaian perusahaan tersebut. Gericke meninggalkan jabatannya pada Juli 2023.

Di balik latar belakang kepemilikan ini, infrastruktur keamanan teknis ExpressVPN sesungguhnya sangat mengesankan. TrustedServer beroperasi sepenuhnya di RAM tanpa hard drive — setiap reboot memuat image OS baru yang ditandatangani secara kriptografis, dan server menjalani siklus pembaruan mingguan yang menghapus semua data sebelumnya. Arsitektur ini telah diaudit oleh PwC (2019), Cure53 (2022), dan KPMG (2022, 2023, 2025). Kebijakan no-logs mendapat validasi nyata pada tahun 2017 ketika otoritas Turki menyita server fisik dalam penyelidikan pembunuhan dan tidak menemukan data pengguna sama sekali.

Protokol Lightway, yang dikembangkan secara internal dan bersumber terbuka di GitHub, ditulis ulang dari C ke Rust pada tahun 2025 demi keamanan memori. Lightway Turbo, yang diperkenalkan pada tahun yang sama, menggunakan tunneling multi-jalur dan offload saluran data tingkat kernel untuk mencapai kecepatan hingga 1.479 Mbps di Windows — meskipun saat ini hanya tersedia untuk Windows. Lightway standar menghasilkan 200-300 Mbps dalam pengujian independen, kompetitif namun lebih lambat dibandingkan NordLynx milik NordVPN dalam sebagian besar perbandingan langsung.

Enkripsi pasca-kuantum menggunakan ML-KEM (standar NIST) diterapkan secara default pada Lightway maupun WireGuard, menjadikan ExpressVPN salah satu penyedia pertama yang menghadirkan perlindungan PQ di berbagai protokol. Dukungan WireGuard ditambahkan pada Agustus 2025 bersamaan dengan integrasi pasca-kuantum.

Jaringan server mencakup 3.000+ server di 105+ negara dan 160+ lokasi. ExpressVPN secara konsisten melewati sensor di China, Iran, UAE, Rusia, dan Arab Saudi — kemampuan krusial yang tidak dimiliki banyak pesaing. Pembukaan blokir streaming secara konsisten merupakan yang terkuat di industri, dengan akses yang terkonfirmasi ke 20+ pustaka Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max, dan DAZN.

Kegagalan keamanan yang signifikan adalah kebocoran DNS split tunneling Windows (CVE-2024-25728), yang terjadi dari Mei 2022 hingga Februari 2024 — selama 21 bulan di mana permintaan DNS melewati terowongan VPN saat split tunneling diaktifkan. ExpressVPN memperkirakan kurang dari 1% pengguna Windows yang terdampak. Responsnya mencakup dua analisis akar penyebab, pengujian penetrasi yang ditugaskan kepada Nettitude, dan penonaktifan sementara split tunneling hingga diperbaiki.

Penetapan harga direstrukturisasi pada September 2025 menjadi tiga tingkatan: Basic ($2,44/bulan untuk paket 2 tahun, 10 koneksi), Advanced ($4,49/bulan, ditambah pengelola kata sandi dan pemantauan ID), dan Pro ($7,49/bulan, ditambah dedicated IP). Harga bulanan tetap menjadi yang tertinggi di industri yakni $12,99. Opsi pembayaran meliputi kartu kredit, PayPal, Bitcoin, Apple Pay, dan Google Pay dengan garansi uang kembali 30 hari.

Ketidakhadiran yang mencolok meliputi port forwarding (tidak tersedia di server manapun), perutean multi-hop, dan aplikasi klien bersumber terbuka — hanya pustaka inti Lightway yang bersifat publik. Split tunneling tidak tersedia di iOS. Kekurangan-kekurangan ini terasa lebih signifikan mengingat harga premium ExpressVPN.

ExpressVPN secara proaktif menghapus semua server fisik dari India pada Juni 2022 daripada mematuhi mandat penyimpanan data CERT-In, beralih ke server virtual di Singapura dan Inggris untuk alamat IP India. Laporan transparansi menunjukkan 529 permintaan pemerintah pada tahun 2025 dan 2,44 juta keluhan DMCA — tanpa data yang diungkapkan dalam kasus apapun.

Perusahaan ini telah mengejar sertifikasi ISO 27001, 9001, dan 18295, dengan ISO 27701 (privasi) dan ISO 42001 (AI) yang ditargetkan untuk tahun 2026. Tingkat gratis EventVPN yang diluncurkan pada November 2025 berjalan di infrastruktur premium dengan perlindungan pasca-kuantum dan no-logs — kontras yang menonjol dibandingkan sebagian besar penawaran VPN gratis.