Как условно-бесплатные VPN-провайдеры продают ваши данные

в 14:00, , рубрики: HideMe.ru, HideMy.name, vpn, анонимность в интернете, Блог компании HideMy.name, защита данных, защита информации, интернет-безопасность, информационная безопасность, конфиденциальность, копирайт, технологии

Привет.
Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами.

image

Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22 000 британцев согласились на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.

Согласно статье The Best VPN Services, некоторые VPN-сервисы передают информацию о пользователях связанным с провайдером компаниям или тем, кто просто-напросто больше заплатит. К тому же, многие сервисы не рассказывают пользователям о том, как на них зарабатывают, или говорят об этом непрозрачно: здесь можно прочесть жалобу американского Центра демократии и технологий (CDT) на работу условно-бесплатного Hotspot Shield Free VPN, адресованную Федеральной торговой комиссии. Оказалось, что сервис нарушал собственную политику конфиденциальности и собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию пользователей. После реверс-инжиниринга клиентского приложения исследователи нашли пять разных библиотек, которые могли использоваться для деанонимизации.

А здесь можно узнать, что Организация по научным и промышленным исследованиям (CSIRO) думает о VPN-приложениях из Google Play: 84% из них способствуют утечке трафика. Ещё одна особенность условно-бесплатных VPN-сервисов — распространение ссылок на сайты определенных компаний и навязчивая реклама.

Как выглядит сделка с VPN-дьяволом

Исследователи из The Best VPN Services сделали рейтинг из 10 самых популярных VPN-провайдеров, которые могут продавать ваши личные данные другим компаниям и людям:

Предполагаем, что таких сервисов на самом деле гораздо больше. Но вышеуказанные провайдеры этого хотя бы не скрывают — просто никто не читает их пользовательские соглашения.

Сосредоточимся на самых интересных «открытиях» проекта The Best VPN Services и рассмотрим три крупнейших VPN-провайдера. Разбор по каждому из десяти выбранных сервисов можно найти на странице исследования с поправкой на то, что оно было опубликовано в мае 2018 года. Мы расскажем про обновленные данные.

Hola и продажа ваших данных «только порядочным клиентам»

Hola — браузерный VPN, насчитывающий более 150 миллионов пользователей. Компания эксплуатирует идею о «свободе, которая поддерживается сообществом»: VPN бесплатный, но вы можете задонатить сервису.

После DDoS-атаки на борду 8chan в 2015 году (об этом есть статья на Хабре) оказалось, что Hola продаёт интернет-каналы пользователей третьим лицам: в частности, данные пользователей попадают в коммерческую сеть Luminati. Эта информация вызвала большой резонанс в интернет-сообществе, и группа активистов создала сайт Adios, Hola!, где обличает уязвимости расширения.

Официальный ответ Hola: «Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft».

Посмотрим на пользовательское соглашение Hola, которое было актуальным в 2018 году:

image

Провайдер честно называет свои цели: исследование, анализ и маркетинг. Но это плохо похоже на анонимность. Свежее соглашение выглядит так:
image
Источник: hola.org/legal/privacy (2019)

Собирать данные для «улучшения качества или для предоставления услуг» — частый пункт многих VPN-сервисов. Но и здесь провайдер вновь открыто сообщает о том, что делится пользовательскими данными с другими компаниями. При этом Hola хранит пользовательские данные вечно — до тех пор, пока они нужны для обеспечения работы сервиса:

image
Источник: hola.org/legal/privacy (2019)

Ранее провайдер не скрывал, что информация о пользователе поступает в коммерческую сеть Luminati. Иными словами, доступ к вашему компьютеру раньше мог быть продан людям, которые за это платят. Неизвестно, делает ли Hola сегодня нечто подобное: формулировки в privacy сейчас довольно размытые.

Вот фрагмент из старой Политики конфиденциальности:

image
Источник: hola.org/legal/privacy (2018). Сейчас на сайте Hola уже нет такой информации

Способы заработка Hola:

  • Провайдер может передавать вашу личную информацию третьим лицам.
  • Провайдер использует девайс пользователя в качестве узла сети и получает к нему доступ, пока вы не используете VPN (обещает оставить личную информацию в безопасности и использовать гаджет только в качестве роутера).

По заявлению Hola, на самом деле они не передают информацию третьим лицам. У них есть платная версия, которой пользуются компании и корпорации. Они используют «небольшую часть ресурсов вашего компьютера, когда они не используются (чтобы мы никогда не замедляли вас), для выгоды сети».

image
Источник: hola.org/faq

Betternet и слив истории вашего браузера

Betternet — еще один крупный VPN-сервис с бесплатной и премиум-версиями, у которого больше 38 миллионов пользователей. На официальном сайте провайдер пытается честно ответить на вопрос о том, откуда берёт деньги: пользователям предлагается установить сторонние приложения партнеров и посмотреть рекламный видеоролик. Или купить подписку, чтобы получить «высочайший уровень сервиса». Значит ли это, что ваши данные не продают? Кажется, нет.

«Мы можем делиться вашим местоположением (на уровне города)»...
image
Источник: www.betternet.co/privacy-policy

Также CSIRO отмечают, что Betternet имеет масштабную библиотеку с данными пользователей. В 2018 году их Политика конфиденциальности выглядела по-другому: Betternet заявлял, что рекламодатели могут получить доступ к истории браузера пользователя.

image
Скриншот из прошлой Политики конфиденциальности (2018)

Как Betternet зарабатывает на пользователях сегодня:

  • У рекламодателей есть доступ к примерной локации пользователя (на уровне города).
  • Показ рекламы.

Призрак VPN в Opera

Честный и бесплатный VPN мог бы стать отличным способом популяризации браузера Opera. Весной 2018 года мобильное приложение Opera VPN сообщило о прекращении работы, и сейчас прежний сайт уже недоступен. Но бесплатный VPN в Opera с 2016 года так никуда и не делся. При этом политика конфиденциальности, которую можно найти на сайте, одна для всех продуктов: Opera может собирать ваши персональные данные. В том числе и для маркетинговых кампаний. Политика конфиденциальности даёт возможность провайдеру предоставлять информацию третьим лицам и отслеживать ваши данные.

image
Источник: www.opera.com/privacy

«При установке приложения Opera генерируется случайный идентификатор установки. Мы можем собирать этот идентификатор, а также идентификатор вашего устройства и технические характеристики оборудования, конфигурацию операционной системы и среды, данные об использовании функций. Мы используем эту информацию для определённых законных деловых целей:

  • Чтобы лучше понять, как люди взаимодействуют с нашими приложениями и сервисами;
  • Для изменения, персонализации или иного улучшения наших приложений и услуг;
  • Определить эффективность рекламных кампаний и рекламы;
  • Обнаруживать, отлаживать и исправлять сбои в наших приложениях и сервисах;
  • Для предотвращения нарушений безопасности и злоупотреблений.

Эта информация помогает нам улучшать наши продукты и услуги. У нас нет практического способа использовать эту информацию, чтобы идентифицировать вас лично. Мы можем хранить эти данные до трёх лет…»

image
Источник: www.opera.com/privacy

Польский исследователь Михаил Шпачек считает, что это и не VPN вовсе, а самый обычный прокси. Доказательство Шпачек опубликовал на GitHub, вот его комментарий:

«Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищённым прокси” (а также именуют её VPN, конечно)».

Ответ разработчиков браузера:

«Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищённые прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».

Как Opera зарабатывает на вас:

  • Предоставление информации о вас коммерческим партнерам.
  • Разрешение (на коммерческой основе) отслеживать информацию о вас.

Комментарий Станислава Шакирова, технического директора РосКомСвободы:

«Сбор метаданных и продажа их маркетинговым агентствам — стандартная практика для многих интернет-сервисов, не только для VPN. Часто это прописано в User Agreements, но обычно его никто не читает. Что касается VPN-сервисов, то, конечно, лучше выбирать те, которые этого не делают: неизвестно, как информация, пусть и обезличенная, будет потом обработана, ведь из неё тоже можно сделать выводы, которые могут навредить пользователю.

VPN — это бизнес, который работает в рамках той или иной юрисдикции. Поэтому да, собирать и передавать данные, уведомив пользователя об этом в User Agreements, абсолютно легально. Если в User Agreements ничего об этом не сказано, VPN-провайдер не имеет права передавать что-либо третьей стороне. Но так ли это де-факто — неизвестно: сервису тоже надо на что-то жить, если он бесплатный.

Когда мы начинаем пользоваться любым сервисом, то лучше сразу задуматься, как именно он зарабатывает. Если сервис бесплатен и не продаёт ваши метаданные, то, вероятно, он вставляет свою рекламу или же перехватывает ваши чувствительные данные, например логины, пароли, данные банковских карт. Бывает, что крупные и порядочные VPN-сервисы делают бесплатные промо-тарифы, но они обычно ограничены по скорости или по трафику. Также необходимо понимать, как работает сам сервис. Вспомните неприятную историю с плагином Hola, который якобы давал бесплатный VPN, но получалось, что при использовании плагина другие пользователи могли выйти в сеть через ваш компьютер. Если действия таких лиц в сети будут противоправны, полиция придет именно к владельцу компьютера».

Вместо эпилога

Исходя из личного многолетнего опыта, можем ответственно заявить: собственный VPN-сервис обходится владельцам очень дорого. Провайдер должен оплачивать:

  1. Содержание сети серверов в разнообразных странах;
  2. Трафик, который для подобных сервисов никогда не бывает бесплатным и безлимитным из-за огромных объемов пользовательского потребления;
  3. Круглосуточное техническое сопровождение, мониторинг и программную разработку.

Сюда не входит поддержка пользователей, средства на развитие и хоть какая-то реклама.

На альтруистически-бесплатных началах существование такого сервиса в нашей вселенной под множеством вопросов. Для чего это владельцам? Из каких средств компенсируются расходы? Что от пользователя просят взамен? Эти вопросы полезно задавать не только бесплатным VPN-сервисам, но любым другим условно-бесплатным сервисам в интернете. Особенно тем, которые работают с чувствительными пользовательскими данными.

Автор: Маркус Саар

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js