Wie Shareware-VPN-Anbieter Ihre Daten verkaufen

Hallo Habr.

Wir haben die Neuigkeiten für Sie: Es gibt keine kostenlosen VPNs. Sie zahlen immer - indem Sie Anzeigen oder Ihre eigenen Daten anzeigen. Für Apologeten der Grundidee der Anonymität im Internet ist die letztere Zahlungsmethode besonders unangenehm. Das Problem ist, dass Sie sich entscheiden, Informationen über Sie selbst zu verkaufen oder an Dritte zu übertragen.



Nutzungsvereinbarungen gibt es überall, aber wer liest sie? Im Sommer 2017 stimmten 22.000 Briten zu , öffentliche Toiletten zu reinigen, indem sie über das öffentliche Wi-Fi-Netzwerk online gingen (ich frage mich, was wir durch die Verbindung mit Wi-Fi in der russischen U-Bahn vereinbaren). Das gemeinnützige Projekt Best VPN Services führte eine Studie durch und fand heraus, dass einige VPN-Anbieter Benutzerdaten „legal“ teilen - dies ist in der Benutzervereinbarung selbst der beliebtesten von ihnen angegeben. Heute ist genau ein Jahr seit der Veröffentlichung dieses Materials vergangen, und wir haben uns entschlossen zu prüfen, ob die Informationen in der Studie relevant bleiben.

Laut einem Artikel von The Best VPN Services übertragen einige VPN-Dienste Informationen über Benutzer an Anbieterunternehmen oder an Unternehmen, die einfach mehr bezahlen. Darüber hinaus sagen viele Dienste den Benutzern nicht, wie sie mit ihnen Geld verdienen sollen, oder sie sprechen darüber undurchsichtig: Hier können Sie die Beschwerde des amerikanischen Zentrums für Demokratie und Technologie (CDT) über die Arbeit des an die Federal Trade Commission gerichteten Shareware Hotspot Shield Free VPN lesen. Es stellte sich heraus, dass der Dienst gegen seine eigenen Datenschutzrichtlinien verstieß und MAC-Adressen, IMEI, Namen von drahtlosen Netzwerken und andere Benutzerinformationen sammelte. Nach dem Reverse Engineering der Client-Anwendung fanden die Forscher fünf verschiedene Bibliotheken, die zur Dekanonymisierung verwendet werden konnten.

Und hier erfahren Sie, was die Organisation für wissenschaftliche und industrielle Forschung (CSIRO) über VPN-Anwendungen von Google Play denkt: 84% von ihnen tragen zum Verkehrsverlust bei. Ein weiteres Merkmal von Shareware-VPN-Diensten ist die Verteilung von Links zu Websites bestimmter Unternehmen und aufdringliche Werbung.

Wie sieht ein Deal mit einem VPN-Teufel aus?

Forscher von The Best VPN Services stuften die 10 beliebtesten VPN-Anbieter ein, die Ihre persönlichen Daten an andere Unternehmen und Personen verkaufen können:

• Hola
• Betternet
• Opera VPN
• Hotspot-Schild
• Psiphon
• Onavo schützen
• Zpn
• HoxxVPN
• Finchvpn
• TouchVPN

Wir gehen davon aus, dass es tatsächlich viel mehr solcher Dienste gibt. Aber die oben genannten Anbieter verbergen es zumindest nicht - nur liest niemand ihre Nutzungsvereinbarungen.

Konzentrieren wir uns auf die interessantesten „Entdeckungen“ des Projekts The Best VPN Services und betrachten die drei größten VPN-Anbieter. Eine Analyse der zehn ausgewählten Dienste finden Sie auf der Studienseite , angepasst an die Tatsache, dass sie im Mai 2018 veröffentlicht wurde. Wir werden über die aktualisierten Daten sprechen.

Hola und Verkauf Ihrer Daten an "nur anständige Kunden"

Hola ist ein browserbasiertes VPN mit mehr als 150 Millionen Benutzern. Das Unternehmen nutzt die Idee der „Community-unterstützten Freiheit“: Das VPN ist kostenlos, aber Sie können den Dienst erweitern.

Nach einem DDoS-Angriff auf das 8chan-Board im Jahr 2015 (es gibt einen Artikel über Habré) stellte sich heraus, dass Hola Internetkanäle von Benutzern an Dritte verkauft: Insbesondere Benutzerdaten fallen in das kommerzielle Netzwerk von Luminati. Diese Informationen sorgten in der Internet-Community für große Resonanz, und eine Gruppe von Aktivisten erstellte die Adios- Website Hola! wo verurteilt Erweiterungsschwachstellen.

Holas offizielle Antwort: „Wir sind ein innovatives Unternehmen. Skype nutzte auch Ihren Datenverkehr. Wir verkaufen Luminati nur an seriöse Kunden (nicht wie Tor). Jeder hat Schwachstellen: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft . “

Schauen wir uns die Hola-Nutzungsvereinbarung an, die 2018 relevant war:



Der Anbieter nennt seine Ziele ehrlich: Forschung, Analyse und Marketing. Das klingt aber nicht nach Anonymität. Eine neue Vereinbarung sieht folgendermaßen aus:

Quelle: hola.org/legal/privacy (2019)

Das Sammeln von Daten zur „Verbesserung der Qualität oder zur Bereitstellung von Diensten“ ist in vielen VPN-Diensten ein häufiges Element. Aber auch hier meldet der Anbieter erneut offen, dass er Benutzerdaten mit anderen Unternehmen teilt. Gleichzeitig speichert Hola Benutzerdaten für immer - solange dies für den Betrieb des Dienstes erforderlich ist:


Quelle: hola.org/legal/privacy (2019)

Bisher hat der Anbieter die Tatsache, dass Benutzerinformationen in das kommerzielle Luminati-Netzwerk gelangen, nicht verborgen. Mit anderen Worten, der Zugriff auf Ihren Computer wurde früher an Personen verkauft, die dafür bezahlen. Es ist nicht bekannt, ob Hola heute etwas Ähnliches tut: Der Wortlaut in Bezug auf die Privatsphäre ist jetzt ziemlich vage.

Hier ist ein Ausschnitt aus der alten Datenschutzrichtlinie:


Quelle: hola.org/legal/privacy (2018). Jetzt hat Hola Site keine solchen Informationen mehr

Möglichkeiten, Hola zu verdienen:

• Der Anbieter kann Ihre persönlichen Daten an Dritte weitergeben.
• Der Anbieter verwendet das Gerät des Benutzers als Netzwerkknoten und erhält Zugriff darauf, bis Sie das VPN verwenden (verspricht, persönliche Informationen sicher zu lassen und das Gadget nur als Router zu verwenden).

Laut Hola geben sie tatsächlich keine Informationen an Dritte weiter. Sie haben eine kostenpflichtige Version, die Unternehmen und Konzerne verwenden. Sie verwenden "einen kleinen Teil der Ressourcen Ihres Computers, wenn sie nicht verwendet werden (damit wir Sie nie verlangsamen), zum Nutzen des Netzwerks . "


Quelle: hola.org/faq

Betternet und entleeren Sie Ihren Browserverlauf

Betternet ist ein weiterer wichtiger VPN-Dienst mit kostenlosen und Premium-Versionen mit über 38 Millionen Benutzern. Auf der offiziellen Website versucht der Anbieter, die Frage, woher er das Geld bezieht, ehrlich zu beantworten: Benutzer werden aufgefordert, Partneranwendungen von Drittanbietern zu installieren und ein Werbevideo anzusehen. Oder kaufen Sie ein Abonnement, um das "höchste Serviceniveau" zu erhalten. Bedeutet dies, dass sich Ihre Daten nicht verkaufen? Nein, wie es scheint.

"Wir können Ihren Standort (auf Stadtebene) teilen" ...

Quelle: www.betternet.co/privacy-policy

CSIRO stellte außerdem fest, dass Betternet über eine umfangreiche Bibliothek mit Benutzerdaten verfügt. Im Jahr 2018 sah ihre Datenschutzrichtlinie anders aus: Betternet gab an, dass Werbetreibende auf den Browserverlauf des Nutzers zugreifen können.


Screenshot aus früheren Datenschutzbestimmungen (2018)

Wie Betternet heute mit Nutzern Geld verdient:

• Werbetreibende haben Zugriff auf den ungefähren Standort des Nutzers (auf Stadtebene).
• Display-Werbung.

VPN-Geist in Opera

Ein ehrliches und kostenloses VPN könnte eine großartige Möglichkeit sein, den Opera-Browser bekannt zu machen. Im Frühjahr 2018 kündigte die mobile Opera VPN-Anwendung die Beendigung der Arbeiten an, und jetzt ist die vorherige Site nicht mehr verfügbar. Aber das kostenlose VPN in Opera seit 2016 ist nirgendwo hingegangen. Gleichzeitig ist die Datenschutzrichtlinie auf der Website für alle Produkte gleich: Opera kann Ihre persönlichen Daten erfassen. Einschließlich für Marketingkampagnen. Die Datenschutzrichtlinie ermöglicht es dem Anbieter, Informationen an Dritte weiterzugeben und Ihre Daten zu verfolgen.


Quelle: www.opera.com/privacy

„Bei der Installation der Opera-Anwendung wird eine zufällige Installationskennung generiert. Wir können diese Kennung sowie die Kennung Ihrer Geräte- und Hardwarespezifikationen, die Konfiguration des Betriebssystems und der Umgebung sowie Daten zur Verwendung von Funktionen erfassen. Wir verwenden diese Informationen für bestimmte legitime Geschäftszwecke:

• Um besser zu verstehen, wie Menschen mit unseren Anwendungen und Diensten interagieren;
• Um unsere Anwendungen und Dienste zu ändern, zu personalisieren oder auf andere Weise zu verbessern;
• Bestimmen Sie die Wirksamkeit von Werbekampagnen und Werbung.
• Erkennen, Debuggen und Beheben von Abstürzen in unseren Anwendungen und Diensten;
• Um Sicherheitsverletzungen und Missbrauch zu verhindern.

Diese Informationen helfen uns, unsere Produkte und Dienstleistungen zu verbessern. Wir haben keine praktische Möglichkeit, diese Informationen zu verwenden, um Sie persönlich zu identifizieren. Wir können diese Daten bis zu drei Jahre speichern ... "


Quelle: www.opera.com/privacy

Der polnische Forscher Mikhail Shpachek glaubt, dass dies überhaupt kein VPN ist, sondern der häufigste Proxy. Shpachek hat den Beweis auf GitHub gepostet , hier ist sein Kommentar:

„Dieses Opera-VPN ist im Grunde nur ein neu konfigurierter HTTP / S-Proxy, der nur den Datenverkehr zwischen Opera und dem Proxy schützt, mehr nicht. Dies ist kein VPN. In den Einstellungen nennen sie diese Funktion selbst einen "geschützten Proxy" (und natürlich auch VPN).

Browser-Entwickler antworten:

"Wir nennen unser VPN ein" Browser-VPN ". Unter der Haube hat diese Lösung geschützte Proxys, die in verschiedenen Teilen der Welt funktionieren und durch die der gesamte Browserverkehr ordnungsgemäß verschlüsselt geleitet wird. "[Unsere Lösung] funktioniert nicht mit Datenverkehr aus anderen Anwendungen, wie z. B. System-VPNs, sondern ist letztendlich nur ein Browser-VPN."

Wie Opera mit Ihnen Geld verdient:

• Bereitstellung von Informationen über Sie an Geschäftspartner.
• Erlaubnis (auf kommerzieller Basis), Informationen über Sie zu verfolgen.

Kommentar von Stanislav Shakirov, Technischer Direktor von RosKom Svoboda :

„Das Sammeln und Verkaufen von Metadaten an Marketingagenturen ist bei vielen Internetdiensten Standard, nicht nur bei VPNs. Oft wird dies in Benutzervereinbarungen geschrieben, aber normalerweise liest es niemand. Bei VPN-Diensten ist es natürlich besser, diejenigen auszuwählen, die dies nicht tun: Es ist nicht bekannt, wie die Informationen, obwohl anonymisiert, dann verarbeitet werden, da Sie daraus auch Schlussfolgerungen ziehen können, die dem Benutzer schaden können.

VPN ist ein Unternehmen, das in einem bestimmten Land tätig ist. Daher ist es absolut legal, Daten zu sammeln und zu übertragen, indem der Benutzer in den Benutzervereinbarungen darüber informiert wird. Wenn in Benutzervereinbarungen nichts darüber gesagt wird, hat der VPN-Anbieter kein Recht, etwas an Dritte zu übertragen. Ob dies de facto ist, ist nicht bekannt: Der Dienst muss auch von etwas leben, wenn es kostenlos ist.

Wenn wir einen Service nutzen, ist es besser, sofort darüber nachzudenken, wie man damit Geld verdient. Wenn der Dienst kostenlos ist und Ihre Metadaten nicht verkauft, fügt er wahrscheinlich seine Anzeigen ein oder fängt Ihre sensiblen Daten wie Anmeldungen, Passwörter und Bankkartendaten ab. Es kommt vor, dass große und anständige VPN-Dienste kostenlose Promo-Tarife anbieten, die jedoch normalerweise in Geschwindigkeit oder Verkehr begrenzt sind. Sie müssen auch verstehen, wie der Dienst selbst funktioniert. Erinnern Sie sich an die unangenehme Geschichte mit dem Hola-Plugin, das angeblich ein kostenloses VPN gab, aber es stellte sich heraus, dass andere Benutzer bei Verwendung des Plugins über Ihren Computer auf das Netzwerk zugreifen konnten. Wenn die Handlungen solcher Personen im Netzwerk rechtswidrig sind, kommt die Polizei zum Besitzer des Computers. “

Anstelle eines Nachworts

Aufgrund unserer langjährigen persönlichen Erfahrung können wir verantwortungsbewusst erklären: Unser eigener VPN-Dienst ist für Eigentümer sehr teuer. Der Anbieter muss zahlen:

1. Wartung eines Servernetzwerks in verschiedenen Ländern;
2. Datenverkehr, der für solche Dienste aufgrund des enormen Benutzerverbrauchs niemals kostenlos und unbegrenzt ist;
3. Technischer Support, Überwachung und Softwareentwicklung rund um die Uhr.

Dies beinhaltet keine Benutzerunterstützung, Entwicklungsgelder und zumindest keine Art von Werbung.

Auf altruistisch-freier Basis steht die Existenz eines solchen Dienstes in unserem Universum unter vielen Fragen. Wofür sind diese Besitzer? Welche Mittel werden zum Ausgleich von Ausgaben verwendet? Was wird vom Benutzer als Gegenleistung verlangt? Es ist nützlich, diese Fragen nicht nur für kostenlose VPN-Dienste, sondern auch für andere Shareware-Dienste im Internet zu stellen. Besonders diejenigen, die mit sensiblen Benutzerdaten arbeiten.