- PVSM.RU - https://www.pvsm.ru -
Привет.
Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ оплаты особенно неприятен. Проблема в том, что продавать или передавать информацию о вас третьим лицам вы разрешаете сами.
Пользовательские соглашения есть везде, но кто их читает? Летом 2017 года 22 000 британцев согласились [1] на уборку общественных туалетов, войдя в интернет через публичную сеть Wi-Fi (интересно, на что мы соглашаемся, подключаясь к Wi-Fi в российском метро). Некоммерческий проект The Best VPN Services провёл исследование [2] и выяснил, что некоторые VPN-провайдеры делятся данными пользователей «легально» — это прописано в User Agreement даже самых популярных из них. Сегодня ровно год с момента публикации того материала, и мы решили посмотреть, осталась ли информация в исследовании актуальной.
Согласно статье The Best VPN Services, некоторые VPN-сервисы передают информацию о пользователях связанным с провайдером компаниям или тем, кто просто-напросто больше заплатит. К тому же, многие сервисы не рассказывают пользователям о том, как на них зарабатывают, или говорят об этом непрозрачно: здесь [3] можно прочесть жалобу американского Центра демократии и технологий (CDT) на работу условно-бесплатного Hotspot Shield Free VPN, адресованную Федеральной торговой комиссии. Оказалось, что сервис нарушал собственную политику конфиденциальности и собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию пользователей. После реверс-инжиниринга клиентского приложения исследователи нашли пять разных библиотек, которые могли использоваться для деанонимизации.
А здесь [4] можно узнать, что Организация по научным и промышленным исследованиям (CSIRO) думает о VPN-приложениях из Google Play: 84% из них способствуют утечке трафика. Ещё одна особенность условно-бесплатных VPN-сервисов — распространение ссылок на сайты определенных компаний и навязчивая реклама.
Исследователи из The Best VPN Services сделали рейтинг из 10 самых популярных VPN-провайдеров, которые могут продавать ваши личные данные другим компаниям и людям:
Предполагаем, что таких сервисов на самом деле гораздо больше. Но вышеуказанные провайдеры этого хотя бы не скрывают — просто никто не читает их пользовательские соглашения.
Сосредоточимся на самых интересных «открытиях» проекта The Best VPN Services и рассмотрим три крупнейших VPN-провайдера. Разбор по каждому из десяти выбранных сервисов можно найти на странице исследования [2] с поправкой на то, что оно было опубликовано в мае 2018 года. Мы расскажем про обновленные данные.
Hola [15] — браузерный VPN, насчитывающий более 150 миллионов пользователей. Компания эксплуатирует идею о «свободе, которая поддерживается сообществом»: VPN бесплатный, но вы можете задонатить сервису.
После DDoS-атаки на борду 8chan в 2015 году (об этом есть статья [16] на Хабре) оказалось, что Hola продаёт интернет-каналы пользователей третьим лицам: в частности, данные пользователей попадают в коммерческую сеть Luminati. Эта информация вызвала большой резонанс в интернет-сообществе, и группа активистов создала сайт Adios, Hola! [17], где обличает уязвимости расширения.
Официальный ответ Hola: «Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft».
Посмотрим на пользовательское соглашение Hola, которое было актуальным в 2018 году:
Провайдер честно называет свои цели: исследование, анализ и маркетинг. Но это плохо похоже на анонимность. Свежее соглашение выглядит так:
Источник: hola.org/legal/privacy [18] (2019)
Собирать данные для «улучшения качества или для предоставления услуг» — частый пункт многих VPN-сервисов. Но и здесь провайдер вновь открыто сообщает о том, что делится пользовательскими данными с другими компаниями. При этом Hola хранит пользовательские данные вечно — до тех пор, пока они нужны для обеспечения работы сервиса:
Источник: hola.org/legal/privacy [18] (2019)
Ранее провайдер не скрывал, что информация о пользователе поступает в коммерческую сеть Luminati. Иными словами, доступ к вашему компьютеру раньше мог быть продан людям, которые за это платят. Неизвестно, делает ли Hola сегодня нечто подобное: формулировки в privacy сейчас довольно размытые.
Вот фрагмент из старой Политики конфиденциальности:
Источник: hola.org/legal/privacy [18] (2018). Сейчас на сайте Hola уже нет такой информации
Способы заработка Hola:
По заявлению Hola, на самом деле они не передают информацию третьим лицам. У них есть платная версия, которой пользуются компании и корпорации. Они используют «небольшую часть ресурсов вашего компьютера, когда они не используются (чтобы мы никогда не замедляли вас), для выгоды сети».
Источник: hola.org/faq [19]
Betternet [20] — еще один крупный VPN-сервис с бесплатной и премиум-версиями, у которого больше 38 миллионов пользователей. На официальном сайте провайдер пытается честно ответить на вопрос о том, откуда берёт деньги [21]: пользователям предлагается установить сторонние приложения партнеров и посмотреть рекламный видеоролик. Или купить подписку, чтобы получить «высочайший уровень сервиса». Значит ли это, что ваши данные не продают? Кажется, нет.
«Мы можем делиться вашим местоположением (на уровне города)»...
Источник: www.betternet.co/privacy-policy [22]
Также CSIRO [4] отмечают, что Betternet имеет масштабную библиотеку с данными пользователей. В 2018 году их Политика конфиденциальности выглядела по-другому: Betternet заявлял, что рекламодатели могут получить доступ к истории браузера пользователя.
Скриншот из прошлой Политики конфиденциальности (2018)
Как Betternet зарабатывает на пользователях сегодня:
Честный и бесплатный VPN мог бы стать отличным способом популяризации браузера Opera. Весной 2018 года мобильное приложение Opera VPN сообщило [23] о прекращении работы, и сейчас прежний сайт уже недоступен. Но бесплатный VPN в Opera [24] с 2016 года так никуда и не делся. При этом политика конфиденциальности, которую можно найти на сайте, одна для всех продуктов: Opera может собирать ваши персональные данные. В том числе и для маркетинговых кампаний. Политика конфиденциальности даёт возможность провайдеру предоставлять информацию третьим лицам и отслеживать ваши данные.
Источник: www.opera.com/privacy [25]
«При установке приложения Opera генерируется случайный идентификатор установки. Мы можем собирать этот идентификатор, а также идентификатор вашего устройства и технические характеристики оборудования, конфигурацию операционной системы и среды, данные об использовании функций. Мы используем эту информацию для определённых законных деловых целей:
Эта информация помогает нам улучшать наши продукты и услуги. У нас нет практического способа использовать эту информацию, чтобы идентифицировать вас лично. Мы можем хранить эти данные до трёх лет…»
Источник: www.opera.com/privacy [25]
Польский исследователь Михаил Шпачек считает [26], что это и не VPN вовсе, а самый обычный прокси. Доказательство Шпачек опубликовал [27] на GitHub, вот его комментарий:
«Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищённым прокси” (а также именуют её VPN, конечно)».
Ответ разработчиков браузера:
«Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищённые прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».
Как Opera зарабатывает на вас:
Комментарий Станислава Шакирова, технического директора РосКомСвободы [28]:
«Сбор метаданных и продажа их маркетинговым агентствам — стандартная практика для многих интернет-сервисов, не только для VPN. Часто это прописано в User Agreements, но обычно его никто не читает. Что касается VPN-сервисов, то, конечно, лучше выбирать те, которые этого не делают: неизвестно, как информация, пусть и обезличенная, будет потом обработана, ведь из неё тоже можно сделать выводы, которые могут навредить пользователю.
VPN — это бизнес, который работает в рамках той или иной юрисдикции. Поэтому да, собирать и передавать данные, уведомив пользователя об этом в User Agreements, абсолютно легально. Если в User Agreements ничего об этом не сказано, VPN-провайдер не имеет права передавать что-либо третьей стороне. Но так ли это де-факто — неизвестно: сервису тоже надо на что-то жить, если он бесплатный.
Когда мы начинаем пользоваться любым сервисом, то лучше сразу задуматься, как именно он зарабатывает. Если сервис бесплатен и не продаёт ваши метаданные, то, вероятно, он вставляет свою рекламу или же перехватывает ваши чувствительные данные, например логины, пароли, данные банковских карт. Бывает, что крупные и порядочные VPN-сервисы делают бесплатные промо-тарифы, но они обычно ограничены по скорости или по трафику. Также необходимо понимать, как работает сам сервис. Вспомните неприятную историю с плагином Hola, который якобы давал бесплатный VPN, но получалось, что при использовании плагина другие пользователи могли выйти в сеть через ваш компьютер. Если действия таких лиц в сети будут противоправны, полиция придет именно к владельцу компьютера».
Исходя из личного многолетнего опыта, можем ответственно заявить: собственный VPN-сервис обходится владельцам очень дорого. Провайдер должен оплачивать:
Сюда не входит поддержка пользователей, средства на развитие и хоть какая-то реклама.
На альтруистически-бесплатных началах существование такого сервиса в нашей вселенной под множеством вопросов. Для чего это владельцам? Из каких средств компенсируются расходы? Что от пользователя просят взамен? Эти вопросы полезно задавать не только бесплатным VPN-сервисам, но любым другим условно-бесплатным сервисам в интернете. Особенно тем, которые работают с чувствительными пользовательскими данными.
Автор: Маркус Саар
Источник [29]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/kopirajt/316477
Ссылки в тексте:
[1] согласились: https://mashable.com/2017/07/13/wifi-terms-conditions-toilets/#fvUZb4F_Eiqt
[2] исследование: https://thebestvpn.com/how-free-vpns-sell-your-data/
[3] здесь: https://cdt.org/files/2017/08/FTC-CDT-VPN-complaint-8-7-17.pdf
[4] здесь: https://research.csiro.au/ng/wp-content/uploads/sites/106/2016/08/paper-1.pdf
[5] Hola: https://thebestvpn.com/how-free-vpns-sell-your-data/#hola
[6] Betternet: https://thebestvpn.com/how-free-vpns-sell-your-data/#betternet
[7] Opera VPN: https://thebestvpn.com/how-free-vpns-sell-your-data/#opera
[8] HotSpot Shield: https://thebestvpn.com/how-free-vpns-sell-your-data/#hotspotshield
[9] Psiphon: https://thebestvpn.com/how-free-vpns-sell-your-data/#psiphon
[10] Onavo Protect: https://thebestvpn.com/how-free-vpns-sell-your-data/#onavo
[11] ZPN: https://thebestvpn.com/how-free-vpns-sell-your-data/#zpn
[12] HoxxVPN: https://thebestvpn.com/how-free-vpns-sell-your-data/#hoxxvpn
[13] FinchVPN: https://thebestvpn.com/how-free-vpns-sell-your-data/#finchvpn
[14] TouchVPN: https://thebestvpn.com/how-free-vpns-sell-your-data/#touchvpn
[15] Hola: http://hola.org
[16] статья: https://habr.com/post/259177/
[17] Adios, Hola!: http://adios-hola.org
[18] hola.org/legal/privacy: https://hola.org/legal/privacy
[19] hola.org/faq: http://hola.org/faq
[20] Betternet: https://thebestvpn.com/reviews/betternet/
[21] откуда берёт деньги: https://www.betternet.co/how-we-make-money
[22] www.betternet.co/privacy-policy: https://www.betternet.co/privacy-policy
[23] сообщило: https://meduza.io/feature/2018/04/16/opera-vpn-ob-yavil-o-zakrytii-eto-neudivitelno-servis-davno-ne-imeet-nichego-obschego-s-brauzerom
[24] VPN в Opera: https://www.opera.com/ru/computer/features/free-vpn
[25] www.opera.com/privacy: https://www.opera.com/privacy
[26] считает: https://xakep.ru/2016/04/25/opera-vpn-proxy/
[27] опубликовал: https://gist.github.com/spaze/558b7c4cd81afa7c857381254ae7bd10?_gclid=5b7c0a3b1405e8.89268635-5b7c0a3b1406d2.26601537&_utm_source=xakep&_utm_campaign=mention92910&_utm_medium=inline&_utm_content=lnk779459154000
[28] РосКомСвободы: https://roskomsvoboda.org
[29] Источник: https://habr.com/ru/post/450416/?utm_source=habrahabr&utm_medium=rss&utm_campaign=450416
Нажмите здесь для печати.