Tecnicamente não, o nome de usuário e a senha são simplesmente para autenticação. A criptografia é configurada após a autenticação ter sido bem-sucedida.
Independentemente de o tráfego da VPN poder ser "quebrado", não há nada que impeça o provedor de VPN de ler todo o tráfego não criptografado após passar pelo servidor. Com ele sendo gratuito e usando apenas uma conta compartilhada, eu não confiaria exatamente no provedor para um trabalho sensível