Как условно-бесплатные VPN-провайдеры продают ваши данные

    Привет, Хабр.

    Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами.

    image

    Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22 000 британцев согласились на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.

    Согласно статье The Best VPN Services, некоторые VPN-сервисы передают информацию о пользователях связанным с провайдером компаниям или тем, кто просто-напросто больше заплатит. К тому же, многие сервисы не рассказывают пользователям о том, как на них зарабатывают, или говорят об этом непрозрачно: здесь можно прочесть жалобу американского Центра демократии и технологий (CDT) на работу условно-бесплатного Hotspot Shield Free VPN, адресованную Федеральной торговой комиссии. Оказалось, что сервис нарушал собственную политику конфиденциальности и собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию пользователей. После реверс-инжиниринга клиентского приложения исследователи нашли пять разных библиотек, которые могли использоваться для деанонимизации.

    А здесь можно узнать, что Организация по научным и промышленным исследованиям (CSIRO) думает о VPN-приложениях из Google Play: 84% из них способствуют утечке трафика. Ещё одна особенность условно-бесплатных VPN-сервисов — распространение ссылок на сайты определенных компаний и навязчивая реклама.

    Как выглядит сделка с VPN-дьяволом


    Исследователи из The Best VPN Services сделали рейтинг из 10 самых популярных VPN-провайдеров, которые могут продавать ваши личные данные другим компаниям и людям:


    Предполагаем, что таких сервисов на самом деле гораздо больше. Но вышеуказанные провайдеры этого хотя бы не скрывают — просто никто не читает их пользовательские соглашения.

    Сосредоточимся на самых интересных «открытиях» проекта The Best VPN Services и рассмотрим три крупнейших VPN-провайдера. Разбор по каждому из десяти выбранных сервисов можно найти на странице исследования с поправкой на то, что оно было опубликовано в мае 2018 года. Мы расскажем про обновленные данные.

    Hola и продажа ваших данных «только порядочным клиентам»


    Hola — браузерный VPN, насчитывающий более 150 миллионов пользователей. Компания эксплуатирует идею о «свободе, которая поддерживается сообществом»: VPN бесплатный, но вы можете задонатить сервису.

    После DDoS-атаки на борду 8chan в 2015 году (об этом есть статья на Хабре) оказалось, что Hola продаёт интернет-каналы пользователей третьим лицам: в частности, данные пользователей попадают в коммерческую сеть Luminati. Эта информация вызвала большой резонанс в интернет-сообществе, и группа активистов создала сайт Adios, Hola!, где обличает уязвимости расширения.

    Официальный ответ Hola: «Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft».

    Посмотрим на пользовательское соглашение Hola, которое было актуальным в 2018 году:

    image

    Провайдер честно называет свои цели: исследование, анализ и маркетинг. Но это плохо похоже на анонимность. Свежее соглашение выглядит так:
    image
    Источник: hola.org/legal/privacy (2019)

    Собирать данные для «улучшения качества или для предоставления услуг» — частый пункт многих VPN-сервисов. Но и здесь провайдер вновь открыто сообщает о том, что делится пользовательскими данными с другими компаниями. При этом Hola хранит пользовательские данные вечно — до тех пор, пока они нужны для обеспечения работы сервиса:

    image
    Источник: hola.org/legal/privacy (2019)

    Ранее провайдер не скрывал, что информация о пользователе поступает в коммерческую сеть Luminati. Иными словами, доступ к вашему компьютеру раньше мог быть продан людям, которые за это платят. Неизвестно, делает ли Hola сегодня нечто подобное: формулировки в privacy сейчас довольно размытые.

    Вот фрагмент из старой Политики конфиденциальности:

    image
    Источник: hola.org/legal/privacy (2018). Сейчас на сайте Hola уже нет такой информации

    Способы заработка Hola:

    • Провайдер может передавать вашу личную информацию третьим лицам.
    • Провайдер использует девайс пользователя в качестве узла сети и получает к нему доступ, пока вы не используете VPN (обещает оставить личную информацию в безопасности и использовать гаджет только в качестве роутера).

    По заявлению Hola, на самом деле они не передают информацию третьим лицам. У них есть платная версия, которой пользуются компании и корпорации. Они используют «небольшую часть ресурсов вашего компьютера, когда они не используются (чтобы мы никогда не замедляли вас), для выгоды сети».

    image
    Источник: hola.org/faq

    Betternet и слив истории вашего браузера


    Betternet — еще один крупный VPN-сервис с бесплатной и премиум-версиями, у которого больше 38 миллионов пользователей. На официальном сайте провайдер пытается честно ответить на вопрос о том, откуда берёт деньги: пользователям предлагается установить сторонние приложения партнеров и посмотреть рекламный видеоролик. Или купить подписку, чтобы получить «высочайший уровень сервиса». Значит ли это, что ваши данные не продают? Кажется, нет.

    «Мы можем делиться вашим местоположением (на уровне города)»...
    image
    Источник: www.betternet.co/privacy-policy

    Также CSIRO отмечают, что Betternet имеет масштабную библиотеку с данными пользователей. В 2018 году их Политика конфиденциальности выглядела по-другому: Betternet заявлял, что рекламодатели могут получить доступ к истории браузера пользователя.

    image
    Скриншот из прошлой Политики конфиденциальности (2018)

    Как Betternet зарабатывает на пользователях сегодня:

    • У рекламодателей есть доступ к примерной локации пользователя (на уровне города).
    • Показ рекламы.

    Призрак VPN в Opera


    Честный и бесплатный VPN мог бы стать отличным способом популяризации браузера Opera. Весной 2018 года мобильное приложение Opera VPN сообщило о прекращении работы, и сейчас прежний сайт уже недоступен. Но бесплатный VPN в Opera с 2016 года так никуда и не делся. При этом политика конфиденциальности, которую можно найти на сайте, одна для всех продуктов: Opera может собирать ваши персональные данные. В том числе и для маркетинговых кампаний. Политика конфиденциальности даёт возможность провайдеру предоставлять информацию третьим лицам и отслеживать ваши данные.

    image
    Источник: www.opera.com/privacy

    «При установке приложения Opera генерируется случайный идентификатор установки. Мы можем собирать этот идентификатор, а также идентификатор вашего устройства и технические характеристики оборудования, конфигурацию операционной системы и среды, данные об использовании функций. Мы используем эту информацию для определённых законных деловых целей:

    • Чтобы лучше понять, как люди взаимодействуют с нашими приложениями и сервисами;
    • Для изменения, персонализации или иного улучшения наших приложений и услуг;
    • Определить эффективность рекламных кампаний и рекламы;
    • Обнаруживать, отлаживать и исправлять сбои в наших приложениях и сервисах;
    • Для предотвращения нарушений безопасности и злоупотреблений.

    Эта информация помогает нам улучшать наши продукты и услуги. У нас нет практического способа использовать эту информацию, чтобы идентифицировать вас лично. Мы можем хранить эти данные до трёх лет…»


    image
    Источник: www.opera.com/privacy

    Польский исследователь Михаил Шпачек считает, что это и не VPN вовсе, а самый обычный прокси. Доказательство Шпачек опубликовал на GitHub, вот его комментарий:

    «Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищённым прокси” (а также именуют её VPN, конечно)».

    Ответ разработчиков браузера:

    «Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищённые прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».

    Как Opera зарабатывает на вас:

    • Предоставление информации о вас коммерческим партнерам.
    • Разрешение (на коммерческой основе) отслеживать информацию о вас.

    Комментарий Станислава Шакирова, технического директора РосКомСвободы:

    «Сбор метаданных и продажа их маркетинговым агентствам — стандартная практика для многих интернет-сервисов, не только для VPN. Часто это прописано в User Agreements, но обычно его никто не читает. Что касается VPN-сервисов, то, конечно, лучше выбирать те, которые этого не делают: неизвестно, как информация, пусть и обезличенная, будет потом обработана, ведь из неё тоже можно сделать выводы, которые могут навредить пользователю.

    VPN — это бизнес, который работает в рамках той или иной юрисдикции. Поэтому да, собирать и передавать данные, уведомив пользователя об этом в User Agreements, абсолютно легально. Если в User Agreements ничего об этом не сказано, VPN-провайдер не имеет права передавать что-либо третьей стороне. Но так ли это де-факто — неизвестно: сервису тоже надо на что-то жить, если он бесплатный.

    Когда мы начинаем пользоваться любым сервисом, то лучше сразу задуматься, как именно он зарабатывает. Если сервис бесплатен и не продаёт ваши метаданные, то, вероятно, он вставляет свою рекламу или же перехватывает ваши чувствительные данные, например логины, пароли, данные банковских карт. Бывает, что крупные и порядочные VPN-сервисы делают бесплатные промо-тарифы, но они обычно ограничены по скорости или по трафику. Также необходимо понимать, как работает сам сервис. Вспомните неприятную историю с плагином Hola, который якобы давал бесплатный VPN, но получалось, что при использовании плагина другие пользователи могли выйти в сеть через ваш компьютер. Если действия таких лиц в сети будут противоправны, полиция придет именно к владельцу компьютера».

    Вместо эпилога


    Исходя из личного многолетнего опыта, можем ответственно заявить: собственный VPN-сервис обходится владельцам очень дорого. Провайдер должен оплачивать:

    1. Содержание сети серверов в разнообразных странах;
    2. Трафик, который для подобных сервисов никогда не бывает бесплатным и безлимитным из-за огромных объемов пользовательского потребления;
    3. Круглосуточное техническое сопровождение, мониторинг и программную разработку.

    Сюда не входит поддержка пользователей, средства на развитие и хоть какая-то реклама.

    На альтруистически-бесплатных началах существование такого сервиса в нашей вселенной под множеством вопросов. Для чего это владельцам? Из каких средств компенсируются расходы? Что от пользователя просят взамен? Эти вопросы полезно задавать не только бесплатным VPN-сервисам, но любым другим условно-бесплатным сервисам в интернете. Особенно тем, которые работают с чувствительными пользовательскими данными.
    HideMy.name
    146,00
    Безопасный, анонимный и свободный интернет.
    Поделиться публикацией

    Комментарии 23

      +6
      Ожидал в последнем абзаце фразу «А вот мы никому ничего не продаем. Честно.» ;)
        +2
        Цель статьи немного другая, основных конкурентов подопустить, себя порекламировать :) Как раз читал недавнюю статью на PCMAG от 2го мая с говорящим названием «Backstabbing, Disinformation, and Bad Journalism: The State of the VPN Industry»
          0
          и даже лучше — мы сдаем ваши данные в аренду на 99 лет!
          0
          И какие бесплатные VPN в итоге правильные? Какие не только в user agreement/privacy, но и в действительности ничего лишнего никуда не передают?
            0
            В основном, встроенные в бесплатный VPN SDK — это модули рекламодателей, которые отбивают затраты на железо и трафик (здесь особняком по-моему только Hola, которая трафик одних юзеров гонит через других таких же юзеров). Поэтому, лучший способ это либо использовать надёжных провайдеров VPN в платном режиме, либо поднять свой VPS с VPN и платить за себя самому. Затраты на оборудование и трафик всё равно никуда не пропадут. В каждом решении есть свои плюсы и минусы, так как VPN провайдеры имеют опыт во многих аспектах — множество VLs (стран с точками выхода), огромный объём IP адресов, технологии маскировки трафика и паттернов от DPI и тд.
              +3
              НИКАКИЕ. Только платные. Собственно об этом и статья. Бесплатный сыр, он только в мышеловке. К сожалению до народа это никак не дойдёт.
                +2
                Ну я бы и платным сервисам доверять не стал, за те же 4 — 5$ что предоставляют сервисы можно купить vps и поднять там свой собственный сервер.
                  +1
                  это ещё и небольшая гарантия стабильности когда Роскомнадзор возьмётся за VPN которые отказались с ним сотрудничать
                    +1
                    Минус vps/vds все же это ограничение в ip и стране. У провайдеров vpn обычно большой выбор стран и динамический выходной ip. А тут вы жестко привязаны к одной vps'ке.
                      0

                      У каждого решения есть плюсы и минусы, тут каждый сам решает что ему удобней и надёжней.

                  0
                  И какие бесплатные VPN в итоге правильные?

                  Ну как можно быть таким наивным

                  Вы о них узнаете, когда они стали достаточно массовыми, известными.
                  Ну а поддержка большого количества пользователей уже имеет большую себестоимость.
                  Зачем кому-то за вас платить?

                  Разве что если вас заставляют смотреть на рекламу — тут хоть понятно на чём зарабатывают.
                    –1
                    ProtonVPN. Есть бесплатный тариф, на котором не получится передавать трафик в одноранговых сетях — то есть не получится скачать торренты. На этом тарифе доступны только по два сервера на трёх локациях.
                    0
                    Статья выглядит как антиреклама AnchorFree, фу-фу-фу. Я своими руками переписывал Betternet в 2018 году и с полной ответственностью могу заявить, что как минимум версия для Windows не собирает и не собирала никакой истории браузера, как и любой другой пользовательской информации. Минимальная информация о системе собирается и хэшируется на стороне клиента — чтобы отличить устройства с премиум от free, это обычная практика для любого условно-бесплатного приложения, но это всё.
                      0
                      Я своими руками переписывал Betternet в 2018 году и с полной ответственностью могу заявить, что как минимум версия для Windows не собирает и не собирала никакой истории браузера, как и любой другой пользовательской информации.
                      Вы работали с клиентским ПО. Те же самые мета- и не только данные можно собирать с серверов.
                      Минимальная информация о системе собирается и хэшируется на стороне клиента — чтобы отличить устройства с премиум от free
                      Нормальные люди делают это с помощью аутентификации.
                        0
                        мета- и не только данные можно собирать с серверов

                        Возможно, но, например, когда разгребаю краши — максимум, что могу узнать о пользователе, это страна и версия ОС. Я сильно сомневаюсь, что такое могло пройти мимо разработчиков. Конечно, инопланетяне-жидорептилоиды могли промыть всем мозги и нас всех обманывают (включая меня), но так недалеко и до чайника, вращающегося вокруг солнца, не так ли?
                        Нормальные люди делают это с помощью аутентификации

                        Как же мы раньше жили без этой, безусловно, ценной информации. Вообще то, о чём я говорю, называется «аутентификация по device hash». Ну есть такая бизнесовая фича — link up to 5 devices, и по ряду причин гораздо удобнее делать именно так. А у вас позиция «не читал, но критикую», ай-яй-яй.
                      +2
                      Не ну а что тут такого? Бесплатный сервис на то и бесплатный.
                      Другое дело когда покупаешь венду за вполне приличные деньги, а она нагло сливает все…
                      Вот такое должно быть запрещено законами на международном уровне.
                        +1
                        По опыту многих знакомых я бы сказал, что для большинства ВПН — это либо средство для получения IP в другой стране либо способ выбраться из под надзора родины, но не средство приватности. Даже если каждому из этой массы лично объяснить, что не так, большинству будет безразлично. Потому что со своей задачей такой VPN справится без негативных последствий для пользователя.

                        Отдельная категория — hola. Но они прямо на главной странице говорят о том, что на клиентском IP будет левый трафик.
                          0
                          Вопрос по смежной теме: а что насчет конфиденциальных, как они себя называют, поисковых систем, вроде DuckDuckGo? Являясь бесплатными, как они зарабатывают?
                            0
                            За все источники доходов DuckDuckGo не скажу, но там много рекламных фреймов в поисковой выдаче.
                              0

                              Конкретно DuckDuckGo показывает рекламу, а также берет комиссию от Amazon и eBay при переходе по ссылкам. Утверждают, что никакой персонализации

                              0

                              Virtual Public Network, короче говоря.
                              Хотите Private, покупайте сервер в private пользование.

                                0
                                Я так думаю, что у кого нет денег на собственный сервер, тому и скрывать нечего. А кому есть что скрывать, у того есть деньги на собственный сервер.
                                  0

                                  Очень неразумно пользоваться любыми коммерческими vpn. Берем AlgoVPN и поднимаем свой впн за 5 минут

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое