Как условно-бесплатные VPN-провайдеры продают ваши данные

Бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами. 

Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22000 британцев согласились на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.

Согласно статье The Best VPN Services, некоторые VPN-сервисы передают информацию о пользователях связанным с провайдером компаниям или тем, кто просто-напросто больше заплатит. К тому же, многие сервисы не рассказывают пользователям о том, как на них зарабатывают, или говорят об этом непрозрачно: здесь можно прочесть жалобу американского Центра демократии и технологий (CDT) на работу условно-бесплатного Hotspot Shield Free VPN, адресованную Федеральной торговой комиссии. Оказалось, что сервис нарушал собственную политику конфиденциальности и собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию пользователей. После реверс-инжиниринга клиентского приложения исследователи нашли пять разных библиотек, которые могли использоваться для деанонимизации.

А здесь можно узнать, что Организация по научным и промышленным исследованиям (CSIRO) думает о VPN-приложениях из Google Play: 84% из них способствуют утечке трафика. Ещё одна особенность условно-бесплатных VPN-сервисов — распространение ссылок на сайты определенных компаний и навязчивая реклама.

Как выглядит сделка с VPN-дьяволом

Исследователи из The Best VPN Services сделали рейтинг из 10 самых популярных VPN-провайдеров, которые могут продавать ваши личные данные другим компаниям и людям:

• Hola
• Betternet
• Opera VPN
• HotSpot Shield
• Psiphon
• Onavo Protect
• ZPN
• HoxxVPN
• FinchVPN
• TouchVPN

Предполагаем, что таких сервисов на самом деле гораздо больше. Но вышеуказанные провайдеры этого хотя бы не скрывают — просто никто не читает их пользовательские соглашения. 

Сосредоточимся на самых интересных «открытиях» проекта The Best VPN Services и рассмотрим три крупнейших VPN-провайдера. Разбор по каждому из десяти выбранных сервисов можно найти на странице исследования с поправкой на то, что оно было опубликовано в мае 2018 года. Мы расскажем про обновленные данные. 

Hola и продажа ваших данных «только порядочным клиентам»

Hola — браузерный VPN, насчитывающий более 150 миллионов пользователей. Компания эксплуатирует идею о «свободе, которая поддерживается сообществом»: VPN бесплатный, но вы можете задонатить сервису.

После DDoS-атаки на борду 8chan в 2015 году оказалось, что Hola продаёт интернет-каналы пользователей третьим лицам: в частности, данные пользователей попадают в коммерческую сеть Luminati. Эта информация вызвала большой резонанс в интернет-сообществе, и группа активистов создала сайт Adios, Hola!, где обличает уязвимости расширения.

Официальный ответ Hola: «Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft».

Посмотрим на пользовательское соглашение Hola, которое было актуальным в 2018 году:

Провайдер честно называет свои цели: исследование, анализ и маркетинг. Но это плохо похоже на анонимность. Свежее соглашение выглядит так:

Источник: hola.org/legal/privacy (2019)

Собирать данные для «улучшения качества или для предоставления услуг» — частый пункт многих VPN-сервисов. Но и здесь провайдер вновь открыто сообщает о том, что делится пользовательскими данными с другими компаниями. При этом Hola хранит пользовательские данные вечно — до тех пор, пока они нужны для обеспечения работы сервиса:

Источник: hola.org/legal/privacy (2019)

Ранее провайдер не скрывал, что информация о пользователе поступает в коммерческую сеть Luminati. Иными словами, доступ к вашему компьютеру раньше мог быть продан людям, которые за это платят. Неизвестно, делает ли Hola сегодня нечто подобное: формулировки в privacy сейчас довольно размытые. 

Вот фрагмент из старой Политики конфиденциальности:

Источник: hola.org/legal/privacy (2018). Сейчас на сайте Hola уже нет такой информации

Способы заработка Hola: 

• Провайдер может передавать вашу личную информацию третьим лицам.
• Провайдер использует девайс пользователя в качестве узла сети и получает к нему доступ, пока вы не используете VPN (обещает оставить личную информацию в безопасности и использовать гаджет только в качестве роутера).

По заявлению Hola, на самом деле они не передают информацию третьим лицам. У них есть платная версия, которой пользуются компании и корпорации. Они используют «небольшую часть ресурсов вашего компьютера, когда они не используются (чтобы мы никогда не замедляли вас), для выгоды сети». 

Источник: hola.org/faq

Betternet и слив истории вашего браузера

Betternet — еще один крупный VPN-сервис с бесплатной и премиум-версиями, у которого больше 38 миллионов пользователей. На официальном сайте провайдер пытается честно ответить на вопрос о том, откуда берёт деньги: пользователям предлагается установить сторонние приложения партнеров и посмотреть рекламный видеоролик. Или купить подписку, чтобы получить «высочайший уровень сервиса». Значит ли это, что ваши данные не продают? Кажется, нет.

«Мы можем делиться вашим местоположением (на уровне города)»...

Источник: www.betternet.co/privacy-policy

Также CSIRO отмечают, что Betternet имеет масштабную библиотеку с данными пользователей. В 2018 году их Политика конфиденциальности выглядела по-другому: Betternet заявлял, что рекламодатели могут получить доступ к истории браузера пользователя. 

Скриншот из прошлой Политики конфиденциальности (2018)

Как Betternet зарабатывает на пользователях сегодня:

• У рекламодателей есть доступ к примерной локации пользователя (на уровне города).
• Показ рекламы.

Призрак VPN в Opera

Честный и бесплатный VPN мог бы стать отличным способом популяризации браузера Opera. Весной 2018 года мобильное приложение Opera VPN сообщило о прекращении работы, и сейчас прежний сайт уже недоступен. Но бесплатный VPN в Opera с 2016 года так никуда и не делся. При этом политика конфиденциальности, которую можно найти на сайте, одна для всех продуктов: Opera может собирать ваши персональные данные. В том числе и для маркетинговых кампаний. Политика конфиденциальности даёт возможность провайдеру предоставлять информацию третьим лицам и отслеживать ваши данные.

Источник: www.opera.com/privacy

«При установке приложения Opera генерируется случайный идентификатор установки. Мы можем собирать этот идентификатор, а также идентификатор вашего устройства и технические характеристики оборудования, конфигурацию операционной системы и среды, данные об использовании функций. Мы используем эту информацию для определённых законных деловых целей:

• Чтобы лучше понять, как люди взаимодействуют с нашими приложениями и сервисами;
• Для изменения, персонализации или иного улучшения наших приложений и услуг;
• Определить эффективность рекламных кампаний и рекламы;
• Обнаруживать, отлаживать и исправлять сбои в наших приложениях и сервисах;
• Для предотвращения нарушений безопасности и злоупотреблений.

Эта информация помогает нам улучшать наши продукты и услуги. У нас нет практического способа использовать эту информацию, чтобы идентифицировать вас лично. Мы можем хранить эти данные до трёх лет…»

Источник: www.opera.com/privacy

Польский исследователь Михаил Шпачек считает, что это и не VPN вовсе, а самый обычный прокси. Доказательство Шпачек опубликовал на GitHub, вот его комментарий:

«Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищённым прокси” (а также именуют её VPN, конечно)».

Ответ разработчиков браузера:

«Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищённые прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».

Как Opera зарабатывает на вас:

• Предоставление информации о вас коммерческим партнерам.
• Разрешение (на коммерческой основе) отслеживать информацию о вас.

Комментарий Станислава Шакирова, технического директора РосКомСвободы:

«Сбор метаданных и продажа их маркетинговым агентствам — стандартная практика для многих интернет-сервисов, не только для VPN. Часто это прописано в User Agreements, но обычно его никто не читает. Что касается VPN-сервисов, то, конечно, лучше выбирать те, которые этого не делают: неизвестно, как информация, пусть и обезличенная, будет потом обработана, ведь из неё тоже можно сделать выводы, которые могут навредить пользователю. 

VPN — это бизнес, который работает в рамках той или иной юрисдикции. Поэтому да, собирать и передавать данные, уведомив пользователя об этом в User Agreements, абсолютно легально. Если в User Agreements ничего об этом не сказано, VPN-провайдер не имеет права передавать что-либо третьей стороне. Но так ли это де-факто — неизвестно: сервису тоже надо на что-то жить, если он бесплатный.

Когда мы начинаем пользоваться любым сервисом, то лучше сразу задуматься, как именно он зарабатывает. Если сервис бесплатен и не продаёт ваши метаданные, то, вероятно, он вставляет свою рекламу или же перехватывает ваши чувствительные данные, например логины, пароли, данные банковских карт. Бывает, что крупные и порядочные VPN-сервисы делают бесплатные промо-тарифы, но они обычно ограничены по скорости или по трафику. Также необходимо понимать, как работает сам сервис. Вспомните неприятную историю с плагином Hola, который якобы давал бесплатный VPN, но получалось, что при использовании плагина другие пользователи могли выйти в сеть через ваш компьютер. Если действия таких лиц в сети будут противоправны, полиция придет именно к владельцу компьютера».

Вместо эпилога

Исходя из личного многолетнего опыта, можем ответственно заявить: собственный VPN-сервис обходится владельцам очень дорого. Провайдер должен оплачивать:

1. Содержание сети серверов в разнообразных странах;
2. Трафик, который для подобных сервисов никогда не бывает бесплатным и безлимитным из-за огромных объемов пользовательского потребления;
3. Круглосуточное техническое сопровождение, мониторинг и программную разработку.

Сюда не входит поддержка пользователей, средства на развитие и хоть какая-то реклама. 

На альтруистически-бесплатных началах существование такого сервиса в нашей вселенной под множеством вопросов. Для чего это владельцам? Из каких средств компенсируются расходы? Что от пользователя просят взамен? Эти вопросы полезно задавать не только бесплатным VPN-сервисам, но любым другим условно-бесплатным сервисам в интернете. Особенно тем, которые работают с чувствительными пользовательскими данными.

Social Engineering

Источник.