Cómo los proveedores de shareware VPN venden sus datos

Hola Habr

Tenemos la noticia para ti: no hay VPN gratuitas. Siempre paga: viendo anuncios o sus propios datos. Para los apologistas de la idea básica del anonimato en Internet, este último método de pago es especialmente desagradable. El problema es que usted decide vender o transferir información sobre usted a terceros usted mismo.



Los acuerdos de usuario están en todas partes, pero ¿quién los lee? En el verano de 2017, 22,000 británicos acordaron limpiar los baños públicos conectándose en línea a través de la red Wi-Fi pública (me pregunto qué acordamos al conectarnos a Wi-Fi en el metro ruso). El proyecto sin fines de lucro Best VPN Services realizó un estudio y descubrió que algunos proveedores de VPN comparten datos de usuarios "legalmente", esto se afirma en el Acuerdo de usuario de incluso los más populares. Hoy es exactamente un año desde la publicación de ese material, y decidimos ver si la información en el estudio seguía siendo relevante.

Según un artículo de The Best VPN Services, algunos servicios de VPN transfieren información sobre los usuarios a compañías relacionadas con proveedores o a aquellos que simplemente pagan más. Además, muchos servicios no les dicen a los usuarios cómo ganar dinero con ellos, o lo hablan de forma opaca: aquí puede leer la queja del Centro Estadounidense para la Democracia y la Tecnología (CDT) sobre el trabajo del shareware Hotspot Shield Free VPN dirigido a la Comisión Federal de Comercio. Resultó que el servicio violó su propia política de privacidad y recopiló direcciones MAC, IMEI, nombres de redes inalámbricas y otra información del usuario. Después de aplicar ingeniería inversa a la aplicación cliente, los investigadores encontraron cinco bibliotecas diferentes que podrían usarse para la desanonimización.

Y aquí puede averiguar qué piensa la Organización para la Investigación Científica e Industrial (CSIRO) sobre las aplicaciones VPN de Google Play: el 84% de ellas contribuyen a la fuga de tráfico. Otra característica de los servicios shareware VPN es la distribución de enlaces a sitios web de ciertas compañías y publicidad intrusiva.

¿Cómo es un trato con un demonio VPN?

Los investigadores de The Best VPN Services clasificaron a los 10 proveedores de VPN más populares que pueden vender sus datos personales a otras empresas y personas:

• Hola
• Betternet
• Opera VPN
• Escudo de punto de acceso
• Psiphon
• Onavo proteger
• Zpn
• HoxxVPN
• Finchvpn
• TouchVPN

Suponemos que en realidad hay muchos más servicios de este tipo. Pero los proveedores anteriores al menos no lo ocultan, solo que nadie lee sus acuerdos de usuario.

Centrémonos en los "descubrimientos" más interesantes del proyecto The Best VPN Services y consideremos los tres proveedores de VPN más grandes. Se puede encontrar un análisis de cada uno de los diez servicios seleccionados en la página del estudio , ajustado por el hecho de que se publicó en mayo de 2018. Hablaremos sobre los datos actualizados.

Hola y vendiendo sus datos a "solo clientes decentes"

Hola es una VPN basada en navegador con más de 150 millones de usuarios. La compañía explota la idea de "libertad respaldada por la comunidad": la VPN es gratuita, pero puede agregarla al servicio.

Después de un ataque DDoS en la placa de 8chan en 2015 (hay un artículo al respecto en Habré), resultó que Hola vende canales de Internet de usuarios a terceros: en particular, los datos del usuario caen en la red comercial de Luminati. Esta información causó una gran respuesta en la comunidad de Internet, y un grupo de activistas creó el sitio web de Adios, Hola! donde denuncia vulnerabilidades de extensión.

Respuesta oficial de Hola: “Somos una empresa innovadora. Skype también usó tu tráfico. Vendemos Luminati solo a clientes respetables (no como Tor). Todos tienen vulnerabilidades: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft " .

Veamos el acuerdo de usuario de Hola, que fue relevante en 2018:



El proveedor honestamente llama a sus objetivos: investigación, análisis y comercialización. Pero eso no suena como anonimato. Un nuevo acuerdo se ve así:

Fuente: hola.org/legal/privacy (2019)

La recopilación de datos para "mejorar la calidad o proporcionar servicios" es un elemento frecuente en muchos servicios VPN. Pero aquí, el proveedor nuevamente informa abiertamente que comparte datos de usuarios con otras compañías. Al mismo tiempo, Hola almacena los datos del usuario para siempre, siempre que sea necesario para garantizar el funcionamiento del servicio:


Fuente: hola.org/legal/privacy (2019)

Anteriormente, el proveedor no ocultaba el hecho de que la información del usuario entra en la red comercial de Luminati. En otras palabras, el acceso a su computadora solía venderse a las personas que lo pagan. No se sabe si Hola está haciendo algo similar hoy: la redacción en privacidad ahora es bastante vaga.

Aquí hay un fragmento de la antigua Política de privacidad:


Fuente: hola.org/legal/privacy (2018). Ahora el sitio de Hola ya no tiene esa información

Formas de ganar Hola:

• El proveedor puede transferir su información personal a terceros.
• El proveedor usa el dispositivo del usuario como host y obtiene acceso a él hasta que use una VPN (promete dejar la información personal segura y usar el dispositivo solo como un enrutador).

Según Hola, de hecho, no transmiten información a terceros. Tienen una versión paga que utilizan las empresas y corporaciones. Usan "una pequeña parte de los recursos de su computadora cuando no están en uso (por lo que nunca lo ralentizamos) en beneficio de la red" .


Fuente: hola.org/faq

Betternet y drena el historial de tu navegador

Betternet es otro importante servicio VPN con versiones gratuitas y premium, con más de 38 millones de usuarios. En el sitio web oficial, el proveedor está tratando de responder honestamente a la pregunta de dónde obtiene el dinero : los usuarios están invitados a instalar aplicaciones de terceros y ver un video publicitario. O compre una suscripción para obtener el "nivel más alto de servicio". ¿Esto significa que sus datos no se venden? No, parece.

"Podemos compartir su ubicación (a nivel de la ciudad)" ...

Fuente: www.betternet.co/privacy-policy

CSIRO también señaló que Betternet tiene una biblioteca a gran escala con datos de usuario. En 2018, su Política de privacidad se veía diferente: Betternet declaró que los anunciantes pueden acceder al historial del navegador del usuario.


Captura de pantalla de la anterior Política de privacidad (2018)

Cómo Betternet gana dinero con los usuarios hoy:

• Los anunciantes tienen acceso a la ubicación aproximada del usuario (a nivel de la ciudad).
• Mostrar publicidad.

VPN fantasma en Opera

Una VPN honesta y gratuita podría ser una excelente manera de popularizar el navegador Opera. En la primavera de 2018, la aplicación móvil Opera VPN anunció la finalización del trabajo, y ahora el sitio anterior ya no está disponible. Pero la VPN gratuita en Opera desde 2016 no se ha ido a ninguna parte. Al mismo tiempo, la política de privacidad que se puede encontrar en el sitio es la misma para todos los productos: Opera puede recopilar sus datos personales. Incluido para campañas de marketing. La política de privacidad permite al proveedor proporcionar información a terceros y rastrear sus datos.


Fuente: www.opera.com/privacy

“Al instalar la aplicación Opera, se genera un identificador de instalación aleatorio. Podemos recopilar este identificador, así como el identificador de su dispositivo y las especificaciones de hardware, la configuración del sistema operativo y el entorno, los datos sobre el uso de las funciones. Utilizamos esta información para fines comerciales legítimos específicos:

• Para comprender mejor cómo las personas interactúan con nuestras aplicaciones y servicios;
• Para cambiar, personalizar o mejorar nuestras aplicaciones y servicios;
• Determinar la efectividad de las campañas publicitarias y publicitarias;
• Detectar, depurar y corregir fallas en nuestras aplicaciones y servicios;
• Para evitar violaciones de seguridad y abuso.

Esta información nos ayuda a mejorar nuestros productos y servicios. No tenemos una forma práctica de utilizar esta información para identificarlo personalmente. Podemos almacenar estos datos por hasta tres años ... "


Fuente: www.opera.com/privacy

El investigador polaco Mikhail Shpachek cree que esto no es una VPN, sino el proxy más común. Shpachek publicó la prueba en GitHub, aquí está su comentario:

“Esta Opera VPN es básicamente un proxy HTTP / S reconfigurado que solo protege el tráfico entre Opera y el proxy, nada más. Esto no es una VPN. En la configuración, ellos mismos llaman a esta función un "proxy protegido" (y también lo llaman VPN, por supuesto) ".

Los desarrolladores del navegador responden:

"Llamamos a nuestra VPN una" VPN de navegador ". Bajo el capó, esta solución tiene proxies protegidos que funcionan en diferentes partes del mundo a través de los cuales pasa todo el tráfico del navegador, debidamente encriptados. "[Nuestra solución] no funciona con el tráfico de otras aplicaciones, como las VPN del sistema, pero, al final, es solo una VPN de navegador".

Cómo Opera gana dinero contigo:

• Proporcionar información sobre usted a socios comerciales.
• Permiso (sobre una base comercial) para rastrear información sobre usted.

Comentario de Stanislav Shakirov, Director Técnico de RosKom Svoboda :

“Recopilar metadatos y venderlos a agencias de marketing es una práctica estándar para muchos servicios de Internet, no solo para VPN. A menudo esto está escrito en los acuerdos de usuario, pero generalmente nadie lo lee. En cuanto a los servicios VPN, por supuesto, es mejor elegir aquellos que no lo hacen: no se sabe cómo se procesará la información, aunque sea anónima, porque de ella también puede sacar conclusiones que pueden dañar al usuario.

VPN es un negocio que opera dentro de una jurisdicción particular. Por lo tanto, sí, es absolutamente legal recopilar y transmitir datos notificándolo al usuario en los Acuerdos de usuario. Si no se dice nada al respecto en los acuerdos de usuario, el proveedor de VPN no tiene derecho a transferir nada a un tercero. Pero se desconoce si esto es de facto: el servicio también necesita vivir de algo, si es gratuito.

Cuando comenzamos a utilizar cualquier servicio, es mejor pensar de inmediato en cómo genera dinero. Si el servicio es gratuito y no vende sus metadatos, probablemente inserte sus anuncios o intercepte sus datos confidenciales, como inicios de sesión, contraseñas, datos de tarjetas bancarias. Sucede que los servicios VPN grandes y decentes tienen tarifas promocionales gratuitas, pero generalmente están limitados en velocidad o tráfico. También debe comprender cómo funciona el servicio en sí. Recuerde la desagradable historia con el complemento Hola, que supuestamente proporcionó una VPN gratuita, pero resultó que al usar el complemento, otros usuarios podían acceder a la red a través de su computadora. Si las acciones de dichas personas en la red son ilegales, la policía acudirá al propietario de la computadora ".

En lugar de un epílogo

En base a nuestros muchos años de experiencia personal, podemos declarar responsablemente: nuestro propio servicio VPN es muy costoso para los propietarios. El proveedor debe pagar:

1. Mantenimiento de una red de servidores en varios países;
2. Tráfico, que para tales servicios nunca es gratuito e ilimitado debido a los enormes volúmenes de consumo del usuario;
3. Soporte técnico las 24 horas, monitoreo y desarrollo de software.

Esto no incluye soporte al usuario, fondos de desarrollo y al menos algún tipo de publicidad.

Sobre una base libre de altruismo, la existencia de tal servicio en nuestro universo bajo muchas preguntas. ¿Para qué son estos propietarios? ¿Qué fondos se utilizan para compensar los gastos? ¿Qué se le pide al usuario a cambio? Es útil hacer estas preguntas no solo a los servicios VPN gratuitos, sino a cualquier otro servicio shareware en Internet. Especialmente aquellos que trabajan con datos confidenciales del usuario.