Какие данные о вашем устройстве собирают VPN сервисы

Разбираемся, какие данные о вашем устройстве собирают VPN провайдеры, и зачем эти данные им нужны.
Какую же информацию о пользователях собирает VPN?
- операционная система;
- идентификатор устройства;
- модель телефона;
- какие браузеры и приложения вы используете.
Выдержка из «Политики конфиденциальности» Hotspot Shield
NordVPN не собирает никаких данных о вашей личности
Анонимности нет. Зачем бесплатные VPN сливают данные пользователей и что с этим делать
Базу данных пользователей бесплатных VPN-приложений для Android — Super VPN, Gecko VPN и Chat VPN — обнаружили на теневом форуме. Эксперты не исключают, что владельцы таких сервисов сами сливают персональную информацию. Все ли бесплатные сервисы опасны и как избежать утечки личных данных? Об этом «Секрету» рассказал генеральный директор Atlant Security Александр Свердлов.
Какие данные собирают бесплатные VPN
Только во время этого конкретного инцидента взлому подверглись несколько VPN-сервисов. Для SuperVPN это и вовсе не первая утечка: данные пользователей сервиса уже попадали в открытый доступ летом 2020 года. Но о скольких взломах мы ещё не знаем?
Дело здесь даже не в том, что в Сеть попали данные 21 млн человек, которые пользовались бесплатными VPN-услугами — владельцы таких сервисов сами сливают данные многих сотен миллионов пользователей и продают их компаниям, которые занимаются слежкой за людьми.
Сколько стоят данные клиентов VPN-сервисов
База пользователей VPN-приложений для Android (GeckoVPN, SuperVPN и ChatVPN) продаётся в Даркнете за 0,023 биткойна (около $1000).
По информации продавца, в базе — более 21 млн строк учётных данных пользователей от 24 февраля 2021 года. В ней — имена, адреса электронной почты, логины, хешированные пароли, страны и служебная информация.
Если человек пользуется бесплатным онлайн-сервисом, то должен понимать, что, скорее всего, товаром является он сам. Никто не будет создавать довольно сложную и дорогую серверную инфраструктуру для бесплатных VPN, если не сможет окупить затраты.
Такие компании собирают и многократно перепродают следующие данные:
- какие сайты посещал человек;
- чем он интересуется;
- объём данных, которыми пользователь обменялся с сайтами или другими пользователями;
- данные оплаты, сделанные покупки;
- IP-адреса, с которых пользователь открывал VPN-связь.
Самые громкие утечки данных из VPN-сервисов
Данные пользователей VPN нашлись в интернете и летом 2020 года. Тогда исследовательская команда vpnMentor обнаружила на незащищённом сервере более 20 млн пользователей бесплатных VPN-решений: UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Как обезопасить себя от утечки
Важно понимать, что утечка или продажа данных с бесплатного VPN-сервиса — не инцидент, это гарантировано самой логикой использования любого бесплатного сервиса.
Самое страшное в том, что люди доверяют этим сервисам и психологически чувствуют себя в безопасности, используя такие VPN-услуги. Этот взлом может послужить очень хорошим отрезвляющим уроком для всех пользователей не только бесплатных, но и относительно недорогих и непопулярных сервисов.
Есть несколько простых правил, которых стоит придерживаться, когда человек подключается к сети с помощью VPN: Всегда знать, насколько можно доверять этому сервису. Сколько лет этот сервис на рынке и какая у него репутация? Помнить, что с или без VPN анонимности в интернете нет: любое действие пользователя можно связать с ним лично. В отличие от реальной жизни, в цифровой мы оставляем следы так много и так часто, что полностью их замести для обычного человека не представляется возможным.
Пользоваться VPN-сервисами так, как будто они всегда собирают все данные. Было множество случаев, когда VPN-сервис открыто заявлял, что не собирает логов и других данных своих пользователей. Впоследствии выяснялось, что всё с точностью наоборот.
Лучше запустить свой собственный VPN-сервер на хостинге независимой компании, чем доверять стороннему сервису. Инструкций для выполнения этого действия полно, и часто для этого даже не нужна специальная техническая подготовка. Помните, что даже платность сервиса никоим образом не гарантирует неприкосновенности ваших данных: платные VPN-сервисы могут принадлежать государственным структурам любой страны мира и собирать информацию в их интересах.
Почему бесплатные VPN очень опасны. Что они крадут у тебя
В закладки

В России давно блокируют сайты, содержащие нежелательный контент. А в Украине уже перенесли политическую борьбу в онлайн-сферу и запретили неугодные по происхождению сервисы.
Многие пытаются обходить запреты через VPN. Но это не лучший выход — нужно искать альтернативу. И вот почему.
Заблокированные сайты можно обойти по VPN
Аббревиатура VPN расшифровывается как Virtual Private Network — виртуальная частная сеть. Коннект к ней происходит поверх стандартного подключения к сети. И она задумывалась в благих целях.
В корпоративном секторе частные сети используются для безопасного зашифрованного доступа сотрудников к ресурсам компании. Но их можно использовать и в других целях.
VPN — способ скрыть местоположение и снять ограничения
С помощью специального софта, основанного на VPN, можно получить доступ к запрещенным на территории страны ресурсам. Так можно использовать Spotify, который пока не доступен в России и ряде других стран. Или сервисы компаний Mail.ru и Яндекс, которые начали ограничивать в Украине.
Чем отличаются платные VPN от бесплатных
Сервисы VPN отличаются защищенностью, назначением, протоколами и ценой доступа. В последнем особенно интересна разница между платными и бесплатными решениями.
В первом случае к монетизации нет вопросов. Пользователь платит деньги за использования частных сетей. И эти средства покрывают технические расходы, зарплаты сотрудников и другие издержки.
С бесплатными сложнее. Благотворительности не бывает, поэтому выгода владельцев — косвенная. Они могли бы монетизироваться рекламой, но реализация проблематична. Возникает вопрос — в чем подвох?!
А все дело в сотрудничестве владельцев VPN-сервисов с партнерами, которые заинтересованы в информации, передающейся с их помощью.
Почему нельзя доверять всем сервисам VPN
Представь VPN в виде специального коридора, по которому идут твои данные для обхода закрытых дверей или блокировок. Если ты заплатил за проход, никого не интересует твоя информация. Если нет — в этом коридоре стоит камера, которая фиксирует действия.
При этом по коридору идет не просто поток информации о сайтах, которыми ты пользуешься. С ним за руку идут логины, пароли и другая информация, которой можешь дорожить.

Даже браузер Opera, который встроил VPN для обхода блокировок, продает данные пользователей рекламодателям. Об этом сообщал лично руководитель компании SurfEasy, которую купили владельцы браузера как раз для глобальной реализации возможности.
С анонимайзерами без громкого имени все еще хуже. Они не просто могут, а льют информацию о тебе направо и налево, чтобы заработать. Другого пути монетизации нет, и это подтвердила история VPN-дополнение для браузеров по имени Hola.
CyberGhost, TunnelBear, Hide Me, VPNGate, Windscribe и так далее — список безликих сервисов, который можно продолжать бесконечно. Доверять им поток своих данных — большой риск.
Ищите альтернативу заблокированным сайтам без VPN
В итоге, когда пользуешься бесплатным VPN даришь ключ от личной жизни практически случайному прохожему. Поэтому учитывай это — особенно на смартфоне, в котором сегодня весь твой мир.
И не надейся на платные решения (NordVPN, ExpressVPN, Trust.Zone, PureVPN, VyprVPN и подобные). Конечно, владельцы таких сервисов меньше заинтересованы в продаже информации, но их могут взломать злоумышленники или попросить поделиться данными власти. Уж не знаю, что хуже.
Cоветую проходить мимо сервисов VPN, к которым нет абсолютного доверия
Лучше ищи альтернативы заблокированным сайтам, а не способ обойти запрет. Уверен, у малоизвестных VPN больше поводов слить твои данные недоброжелателям, чем у сервисов с именем, которых в этом уличат в момент.
Еще больше теорий заговоров в нашем Фейсбуке
В закладки
Как условно-бесплатные VPN-провайдеры продают ваши данные
Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами.

Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22 000 британцев согласились на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.
Согласно статье The Best VPN Services, некоторые VPN-сервисы передают информацию о пользователях связанным с провайдером компаниям или тем, кто просто-напросто больше заплатит. К тому же, многие сервисы не рассказывают пользователям о том, как на них зарабатывают, или говорят об этом непрозрачно: здесь можно прочесть жалобу американского Центра демократии и технологий (CDT) на работу условно-бесплатного Hotspot Shield Free VPN, адресованную Федеральной торговой комиссии. Оказалось, что сервис нарушал собственную политику конфиденциальности и собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию пользователей. После реверс-инжиниринга клиентского приложения исследователи нашли пять разных библиотек, которые могли использоваться для деанонимизации.
А здесь можно узнать, что Организация по научным и промышленным исследованиям (CSIRO) думает о VPN-приложениях из Google Play: 84% из них способствуют утечке трафика. Ещё одна особенность условно-бесплатных VPN-сервисов — распространение ссылок на сайты определенных компаний и навязчивая реклама.
Как выглядит сделка с VPN-дьяволом
Исследователи из The Best VPN Services сделали рейтинг из 10 самых популярных VPN-провайдеров, которые могут продавать ваши личные данные другим компаниям и людям:
Сосредоточимся на самых интересных «открытиях» проекта The Best VPN Services и рассмотрим три крупнейших VPN-провайдера. Разбор по каждому из десяти выбранных сервисов можно найти на странице исследования с поправкой на то, что оно было опубликовано в мае 2018 года. Мы расскажем про обновленные данные.
Hola и продажа ваших данных «только порядочным клиентам»
Hola — браузерный VPN, насчитывающий более 150 миллионов пользователей. Компания эксплуатирует идею о «свободе, которая поддерживается сообществом»: VPN бесплатный, но вы можете задонатить сервису.
После DDoS-атаки на борду 8chan в 2015 году (об этом есть статья на Хабре) оказалось, что Hola продаёт интернет-каналы пользователей третьим лицам: в частности, данные пользователей попадают в коммерческую сеть Luminati. Эта информация вызвала большой резонанс в интернет-сообществе, и группа активистов создала сайт Adios, Hola!, где обличает уязвимости расширения.
Официальный ответ Hola: «Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft».
Посмотрим на пользовательское соглашение Hola, которое было актуальным в 2018 году:

Провайдер честно называет свои цели: исследование, анализ и маркетинг. Но это плохо похоже на анонимность. Свежее соглашение выглядит так:
Источник: hola.org/legal/privacy (2019)
Собирать данные для «улучшения качества или для предоставления услуг» — частый пункт многих VPN-сервисов. Но и здесь провайдер вновь открыто сообщает о том, что делится пользовательскими данными с другими компаниями. При этом Hola хранит пользовательские данные вечно — до тех пор, пока они нужны для обеспечения работы сервиса:
Источник: hola.org/legal/privacy (2019)
Ранее провайдер не скрывал, что информация о пользователе поступает в коммерческую сеть Luminati. Иными словами, доступ к вашему компьютеру раньше мог быть продан людям, которые за это платят. Неизвестно, делает ли Hola сегодня нечто подобное: формулировки в privacy сейчас довольно размытые.
Вот фрагмент из старой Политики конфиденциальности:
Источник: hola.org/legal/privacy (2018). Сейчас на сайте Hola уже нет такой информации
Способы заработка Hola:
- Провайдер может передавать вашу личную информацию третьим лицам.
- Провайдер использует девайс пользователя в качестве узла сети и получает к нему доступ, пока вы не используете VPN (обещает оставить личную информацию в безопасности и использовать гаджет только в качестве роутера).
Источник: hola.org/faq
Betternet и слив истории вашего браузера
Betternet — еще один крупный VPN-сервис с бесплатной и премиум-версиями, у которого больше 38 миллионов пользователей. На официальном сайте провайдер пытается честно ответить на вопрос о том, откуда берёт деньги: пользователям предлагается установить сторонние приложения партнеров и посмотреть рекламный видеоролик. Или купить подписку, чтобы получить «высочайший уровень сервиса». Значит ли это, что ваши данные не продают? Кажется, нет.
«Мы можем делиться вашим местоположением (на уровне города)».
Источник: www.betternet.co/privacy-policy
Также CSIRO отмечают, что Betternet имеет масштабную библиотеку с данными пользователей. В 2018 году их Политика конфиденциальности выглядела по-другому: Betternet заявлял, что рекламодатели могут получить доступ к истории браузера пользователя.
Скриншот из прошлой Политики конфиденциальности (2018)
- У рекламодателей есть доступ к примерной локации пользователя (на уровне города).
- Показ рекламы.
Призрак VPN в Opera
Честный и бесплатный VPN мог бы стать отличным способом популяризации браузера Opera. Весной 2018 года мобильное приложение Opera VPN сообщило о прекращении работы, и сейчас прежний сайт уже недоступен. Но бесплатный VPN в Opera с 2016 года так никуда и не делся. При этом политика конфиденциальности, которую можно найти на сайте, одна для всех продуктов: Opera может собирать ваши персональные данные. В том числе и для маркетинговых кампаний. Политика конфиденциальности даёт возможность провайдеру предоставлять информацию третьим лицам и отслеживать ваши данные.
Источник: www.opera.com/privacy
«При установке приложения Opera генерируется случайный идентификатор установки. Мы можем собирать этот идентификатор, а также идентификатор вашего устройства и технические характеристики оборудования, конфигурацию операционной системы и среды, данные об использовании функций. Мы используем эту информацию для определённых законных деловых целей:
- Чтобы лучше понять, как люди взаимодействуют с нашими приложениями и сервисами;
- Для изменения, персонализации или иного улучшения наших приложений и услуг;
- Определить эффективность рекламных кампаний и рекламы;
- Обнаруживать, отлаживать и исправлять сбои в наших приложениях и сервисах;
- Для предотвращения нарушений безопасности и злоупотреблений.
Источник: www.opera.com/privacy
Польский исследователь Михаил Шпачек считает, что это и не VPN вовсе, а самый обычный прокси. Доказательство Шпачек опубликовал на GitHub, вот его комментарий:
«Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищённым прокси” (а также именуют её VPN, конечно)».
Ответ разработчиков браузера:
«Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищённые прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».
Как Opera зарабатывает на вас:
- Предоставление информации о вас коммерческим партнерам.
- Разрешение (на коммерческой основе) отслеживать информацию о вас.
«Сбор метаданных и продажа их маркетинговым агентствам — стандартная практика для многих интернет-сервисов, не только для VPN. Часто это прописано в User Agreements, но обычно его никто не читает. Что касается VPN-сервисов, то, конечно, лучше выбирать те, которые этого не делают: неизвестно, как информация, пусть и обезличенная, будет потом обработана, ведь из неё тоже можно сделать выводы, которые могут навредить пользователю.
VPN — это бизнес, который работает в рамках той или иной юрисдикции. Поэтому да, собирать и передавать данные, уведомив пользователя об этом в User Agreements, абсолютно легально. Если в User Agreements ничего об этом не сказано, VPN-провайдер не имеет права передавать что-либо третьей стороне. Но так ли это де-факто — неизвестно: сервису тоже надо на что-то жить, если он бесплатный.
Когда мы начинаем пользоваться любым сервисом, то лучше сразу задуматься, как именно он зарабатывает. Если сервис бесплатен и не продаёт ваши метаданные, то, вероятно, он вставляет свою рекламу или же перехватывает ваши чувствительные данные, например логины, пароли, данные банковских карт. Бывает, что крупные и порядочные VPN-сервисы делают бесплатные промо-тарифы, но они обычно ограничены по скорости или по трафику. Также необходимо понимать, как работает сам сервис. Вспомните неприятную историю с плагином Hola, который якобы давал бесплатный VPN, но получалось, что при использовании плагина другие пользователи могли выйти в сеть через ваш компьютер. Если действия таких лиц в сети будут противоправны, полиция придет именно к владельцу компьютера».
Вместо эпилога
Исходя из личного многолетнего опыта, можем ответственно заявить: собственный VPN-сервис обходится владельцам очень дорого. Провайдер должен оплачивать:
- Содержание сети серверов в разнообразных странах;
- Трафик, который для подобных сервисов никогда не бывает бесплатным и безлимитным из-за огромных объемов пользовательского потребления;
- Круглосуточное техническое сопровождение, мониторинг и программную разработку.
На альтруистически-бесплатных началах существование такого сервиса в нашей вселенной под множеством вопросов. Для чего это владельцам? Из каких средств компенсируются расходы? Что от пользователя просят взамен? Эти вопросы полезно задавать не только бесплатным VPN-сервисам, но любым другим условно-бесплатным сервисам в интернете. Особенно тем, которые работают с чувствительными пользовательскими данными.