Як умовно-безкоштовні VPN-провайдери продають ваші дані

Ми до вас з новиною: безкоштовних VPN не буває. Ви платите завжди – переглядом реклами або власними даними. Для апологетів базової ідеї про анонімність в інтернеті останній спосіб оплати особливо неприємний. Проблема в тому, що продавати або передавати інформацію про вас третім особам ви дозволяєте самі.

Призначені для користувача угоди є скрізь, але хто їх читає? Наприклад, влітку 2017 року 22 тис. британців погодилися на прибирання громадських туалетів, увійшовши в інтернет через публічну мережу Wi-Fi. Некомерційний проект The Best VPN Services провів дослідження і з’ясував, що деякі VPN-провайдери діляться даними користувачів «легально» – це прописано в User Agreement навіть найпопулярніших з них. Минув рік з моменту публікації того матеріалу, і ми вирішили подивитися, чи залишилася інформація в дослідженні актуальною.

Згідно зі статтею The Best VPN Services, деякі VPN-сервіси передають інформацію про користувачів пов’язаним з провайдером компаніям або тим, хто просто-напросто більше заплатить. До того ж, багато сервісів не розповідають користувачам про те, як на них заробляють, або говорять про це непрозоро: тут можна прочитати скаргу американського Центру демократії і технологій (CDT) на роботу умовно-безкоштовного Hotspot Shield Free VPN, адресовану Федеральній торговій комісії. Виявилося, що сервіс порушував власну політику конфіденційності і збирав MAC-адреси, IMEI, назви бездротових мереж і іншу інформацію користувачів. Після реверс-інжинірингу клієнтського додатка дослідники знайшли п’ять різних бібліотек, які могли використовуватися для деанонімізації.

А тут можна дізнатися, що Організація з наукових і промислових досліджень (CSIRO) думає про VPN-додатки з Google Play: 84% з них сприяють витоку трафіку. Ще одна особливість умовно-безкоштовних VPN-сервісів – поширення посилань на сайти певних компаній і нав’язлива реклама.

Як виглядає угода з VPN-дияволом

Дослідники з The Best VPN Services зробили рейтинг з 10 найпопулярніших VPN-провайдерів, які можуть продавати ваші особисті дані іншим компаніям і людям:

Припускаємо, що таких сервісів насправді набагато більше. Але вищевказані провайдери цього хоча б не приховують – просто ніхто не читає їхні призначені для користувача угоди.

Зосередимося на найцікавіших «відкриттях» проекту The Best VPN Services і розглянемо  найбільший VPN-провайдер. Розбір по кожному з десяти обраних сервісів можна знайти на сторінці дослідження з поправкою на те, що воно було опубліковано в травні 2018 року. Ми розповімо про оновлені дані.

Приклад Hola: продаж ваших даних «тільки порядним клієнтам»

Hola – браузерний VPN, що налічує понад 150 мільйонів користувачів. Компанія експлуатує ідею про «свободу, яка підтримується спільнотою»: VPN безкоштовний, але ви можете задонатіть сервісу.

Після DDoS-атаки на борду 8chan в 2015 році (про це є стаття на Хабрі) виявилося, що Hola продає інтернет-канали користувачів третім особам: зокрема, дані користувачів потрапляють в комерційну мережу Luminati. Ця інформація викликала великий резонанс в інтернет-співтоваристві, і група активістів створила сайт Adios, Hola !, де викриває уразливості розширення.

Офіційна відповідь Hola: «Ми – інноваційна компанія. Skype теж використовував ваш трафік. Ми продаємо Luminati тільки порядним клієнтам (а не як Tor). Уразливості є у всіх: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft ».

Подивимося на угоду користувача Hola, яке було актуальним у 2018 році:

Провайдер чесно називає свої цілі: дослідження, аналіз і маркетинг. Але це не дуже схоже на анонімність. Найсвіжіша угода виглядає так:

Збирати дані для «поліпшення якості або для надання послуг» – частий пункт багатьох VPN-сервісів. Але і тут провайдер знову відкрито повідомляє про те, що ділиться даними користувачів з іншими компаніями. При цьому Hola зберігає призначені для користувача дані вічно – до тих пір, поки вони потрібні для забезпечення роботи сервісу:

Джерело: hola.org/legal/privacy (2019)

Раніше провайдер не приховував, що інформація про користувача надходить в комерційну мережу Luminati. Іншими словами, доступ до вашого комп’ютера раніше міг бути проданий людям, які за це платять. Невідомо, чи робить Hola сьогодні щось подібне: формулювання в privacy зараз досить розмиті.

Ось фрагмент зі старої Політики конфіденційності:


Джерело: hola.org/legal/privacy (2019)

Зараз на сайті Hola вже немає такої інформації.

Способи заробітку Hola:

  • Провайдер може передавати вашу особисту інформацію третім особам.
  • Провайдер використовує девайс користувача в якості вузла мережі і отримує до нього доступ, поки ви не використовуєте VPN (обіцяє залишити особисту інформацію в безпеці і використовувати гаджет тільки в якості роутера).

За заявою Hola, насправді вони не передають інформацію третім особам. У них є платна версія, якою користуються компанії та корпорації. Вони використовують «невелику частину ресурсів вашого комп’ютера, коли вони не використовуються (щоб ми ніколи не уповільнювали вас), для вигоди мережі». Повiрити?

Висновок

Треба розумiти, що VPN-сервіс обходиться власникам дуже дорого. Провайдер повинен оплачувати:

  • Утримування мережі серверів в різноманітних країнах;
  • Трафік, який для подібних сервісів ніколи не буває безкоштовним і безлімітним через величезні обсяги споживання користувачами;
  • Цілодобовий технічний супровід, моніторинг та програмну розробку.

Тут ще й не врахована підтримка користувачів, кошти на розвиток і хоч якась реклама.

На альтруїстично-безкоштовних засадах існування такого сервісу в нашому всесвіті під безліччю питань. Для чого це власникам? З яких коштів компенсуються витрати? Що від користувача просять взамін? Ці питання корисно задавати не тільки безкоштовним VPN-сервісів, але будь-яким іншим умовно-безкоштовним сервісам в інтернеті. Особливо тим, які працюють з даними користувача.

Джерело: habr