Bagaimana penyedia VPN shareware menjual data Anda

Hai, Habr.

Kami memiliki berita untuk Anda: tidak ada VPN gratis. Anda selalu membayar - dengan melihat iklan atau data Anda sendiri. Bagi para pembela ide dasar anonimitas di Internet, metode pembayaran terakhir sangat tidak menyenangkan. Masalahnya adalah Anda memutuskan untuk menjual atau mentransfer informasi tentang Anda kepada pihak ketiga sendiri.



Perjanjian pengguna ada di mana-mana, tetapi siapa yang membacanya? Pada musim panas 2017, 22.000 warga Inggris sepakat untuk membersihkan toilet umum dengan online melalui jaringan Wi-Fi publik (saya ingin tahu apa yang kami setujui dengan menghubungkan ke Wi-Fi di metro Rusia). Proyek nirlaba Layanan VPN Terbaik melakukan penelitian dan menemukan bahwa beberapa penyedia VPN berbagi data pengguna "secara hukum" - ini dinyatakan dalam Perjanjian Pengguna bahkan yang paling populer di antara mereka. Hari ini tepat satu tahun sejak publikasi materi itu, dan kami memutuskan untuk melihat apakah informasi dalam penelitian ini tetap relevan.

Menurut sebuah artikel oleh The Best VPN Services, beberapa layanan VPN mentransfer informasi tentang pengguna ke perusahaan terkait penyedia layanan atau kepada mereka yang hanya membayar lebih. Selain itu, banyak layanan tidak memberi tahu pengguna cara menghasilkan uang dari mereka, atau mereka membicarakannya buram: di sini Anda dapat membaca keluhan dari Pusat Amerika untuk Demokrasi dan Teknologi (CDT) tentang pekerjaan VPN Hotspot Shield Gratis shareware yang ditujukan kepada Komisi Perdagangan Federal. Ternyata layanan tersebut melanggar kebijakan privasinya sendiri dan mengumpulkan alamat MAC, IMEI, nama jaringan nirkabel, dan informasi pengguna lainnya. Setelah merekayasa balik aplikasi klien, para peneliti menemukan lima perpustakaan berbeda yang dapat digunakan untuk deanonimisasi.

Dan di sini Anda dapat mengetahui pendapat Organisasi untuk Riset Ilmiah dan Industri (CSIRO) tentang aplikasi VPN dari Google Play: 84% di antaranya berkontribusi terhadap kebocoran lalu lintas. Fitur lain dari layanan VPN shareware adalah distribusi tautan ke situs web perusahaan tertentu dan iklan yang mengganggu.

Seperti apa kesepakatan dengan setan VPN?

Para peneliti di The Best VPN Services memberi peringkat 10 penyedia VPN paling populer yang dapat menjual data pribadi Anda ke perusahaan dan orang lain:

• Hola
• Betternet
• Opera VPN
• Perisai hotspot
• Psiphon
• Onavo lindungi
• Zpn
• HoxxVPN
• Finchvpn
• TouchVPN

Kami berasumsi bahwa sebenarnya ada lebih banyak layanan seperti itu. Tetapi penyedia di atas setidaknya tidak menyembunyikannya - hanya tidak ada yang membaca perjanjian pengguna mereka.

Mari kita fokus pada "penemuan" paling menarik dari proyek Layanan VPN Terbaik dan pertimbangkan tiga penyedia VPN terbesar. Analisis dari masing-masing dari sepuluh layanan yang dipilih dapat ditemukan di halaman studi , disesuaikan dengan fakta bahwa itu diterbitkan pada Mei 2018. Kami akan berbicara tentang data yang diperbarui.

Hola dan jual data Anda ke "hanya pelanggan yang layak"

Hola adalah VPN berbasis browser dengan lebih dari 150 juta pengguna. Perusahaan mengeksploitasi gagasan "kebebasan yang didukung komunitas": VPN itu gratis, tetapi Anda dapat menambah layanan.

Setelah serangan DDoS pada papan 8chan pada tahun 2015 (ada artikel tentang hal itu di Habr), ternyata Hola menjual saluran Internet pengguna kepada pihak ketiga: khususnya, data pengguna masuk ke jaringan komersial Luminati. Informasi ini menyebabkan respons yang hebat di komunitas Internet, dan sekelompok aktivis membuat situs web Adios, Hola! di mana mencela kerentanan ekstensi.

Tanggapan resmi Hola: “Kami adalah perusahaan yang inovatif. Skype juga menggunakan lalu lintas Anda. Kami menjual Luminati hanya kepada pelanggan terhormat (tidak seperti Tor). Setiap orang memiliki kerentanan: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft . "

Mari kita lihat perjanjian pengguna Hola, yang relevan pada 2018:



Penyedia dengan jujur ​​menyebut tujuannya: riset, analisis, dan pemasaran. Tapi itu tidak terdengar seperti anonimitas. Perjanjian baru terlihat seperti ini:

Sumber: hola.org/legal/privacy (2019)

Mengumpulkan data untuk "meningkatkan kualitas atau untuk menyediakan layanan" adalah item yang sering di banyak layanan VPN. Tapi di sini, penyedia lagi melaporkan secara terbuka bahwa ia membagikan data pengguna dengan perusahaan lain. Pada saat yang sama, Hola menyimpan data pengguna selamanya - selama diperlukan untuk memastikan operasi layanan:


Sumber: hola.org/legal/privacy (2019)

Sebelumnya, penyedia tidak menyembunyikan fakta bahwa informasi pengguna memasuki jaringan komersial Luminati. Dengan kata lain, akses ke komputer Anda dulu dijual kepada orang-orang yang membayarnya. Tidak diketahui apakah Hola melakukan sesuatu yang serupa hari ini: kata-kata dalam privasi sekarang cukup kabur.

Ini cuplikan dari Kebijakan Privasi lama:


Sumber: hola.org/legal/privacy (2018). Sekarang situs Hola tidak lagi memiliki informasi seperti itu

Cara untuk mendapatkan Hola:

• Penyedia dapat mentransfer informasi pribadi Anda ke pihak ketiga.
• Penyedia menggunakan perangkat pengguna sebagai node jaringan dan mendapatkan akses ke sana sampai Anda menggunakan VPN (berjanji untuk meninggalkan informasi pribadi aman dan menggunakan gadget hanya sebagai router).

Menurut Hola, sebenarnya mereka tidak mengirimkan informasi ke pihak ketiga. Mereka memiliki versi berbayar yang digunakan perusahaan dan perusahaan. Mereka menggunakan "sebagian kecil dari sumber daya komputer Anda saat tidak digunakan (jadi kami tidak pernah memperlambat Anda) untuk kepentingan jaringan . "


Sumber: hola.org/faq

Betternet dan tiriskan riwayat browser Anda

Betternet adalah layanan VPN utama lainnya dengan versi gratis dan premium, dengan lebih dari 38 juta pengguna. Di situs web resmi, penyedia berusaha menjawab dengan jujur ​​pertanyaan dari mana uang itu didapat : pengguna diundang untuk menginstal aplikasi mitra pihak ketiga dan menonton video iklan. Atau beli langganan untuk mendapatkan "tingkat layanan tertinggi". Apakah ini berarti bahwa data Anda tidak terjual? Tidak, sepertinya.

“Kami dapat membagikan lokasi Anda (di tingkat kota)” ...

Sumber: www.betternet.co/privacy-policy

CSIRO juga mencatat bahwa Betternet memiliki perpustakaan skala besar dengan data pengguna. Pada tahun 2018, Kebijakan Privasi mereka terlihat berbeda: Betternet menyatakan bahwa pengiklan dapat mengakses riwayat browser pengguna.


Tangkapan layar dari Kebijakan Privasi sebelumnya (2018)

Bagaimana Betternet menghasilkan uang dari pengguna saat ini:

• Pengiklan memiliki akses ke perkiraan lokasi pengguna (di tingkat kota).
• Iklan bergambar.

Hantu VPN di Opera

VPN yang jujur ​​dan gratis bisa menjadi cara yang bagus untuk mempopulerkan browser Opera. Pada musim semi 2018, aplikasi seluler Opera VPN mengumumkan penghentian pekerjaan, dan sekarang situs sebelumnya tidak lagi tersedia. Tetapi VPN gratis di Opera sejak 2016 belum pergi ke mana-mana. Pada saat yang sama, kebijakan privasi yang dapat ditemukan di situs adalah sama untuk semua produk: Opera dapat mengumpulkan data pribadi Anda. Termasuk untuk kampanye pemasaran. Kebijakan privasi memungkinkan penyedia untuk memberikan informasi kepada pihak ketiga dan melacak data Anda.


Sumber: www.opera.com/privacy

“Saat memasang aplikasi Opera, pengidentifikasi instalasi acak dihasilkan. Kami dapat mengumpulkan pengidentifikasi ini, serta pengidentifikasi perangkat dan spesifikasi perangkat keras Anda, konfigurasi sistem operasi dan lingkungan, data tentang penggunaan fungsi. Kami menggunakan informasi ini untuk tujuan bisnis tertentu yang sah:

• Untuk lebih memahami bagaimana orang berinteraksi dengan aplikasi dan layanan kami;
• Untuk mengubah, mempersonalisasikan atau meningkatkan aplikasi dan layanan kami;
• Menentukan efektivitas kampanye dan iklan iklan;
• Deteksi, debug, dan perbaiki crash di aplikasi dan layanan kami;
• Untuk mencegah pelanggaran keamanan dan penyalahgunaan.

Informasi ini membantu kami meningkatkan produk dan layanan kami. Kami tidak memiliki cara praktis untuk menggunakan informasi ini untuk mengidentifikasi Anda secara pribadi. Kami dapat menyimpan data ini hingga tiga tahun ... "


Sumber: www.opera.com/privacy

Peneliti Polandia Mikhail Shpachek percaya bahwa ini bukan VPN sama sekali, tetapi proxy yang paling umum. Shpachek memposting buktinya di GitHub, berikut adalah komentarnya:

“VPN Opera ini pada dasarnya hanya proxy HTTP / S yang dikonfigurasi ulang yang hanya melindungi lalu lintas antara Opera dan proxy, tidak lebih. Ini bukan VPN. Dalam pengaturan, mereka sendiri menyebut fungsi ini sebagai "proxy yang dilindungi" (dan juga menyebutnya VPN, tentu saja). "

Pengembang peramban menjawab:

"Kami menyebut VPN kami sebagai" browser VPN. " Di bawah tenda, solusi ini telah melindungi proksi yang bekerja di berbagai belahan dunia di mana semua lalu lintas peramban lewat, dienkripsi dengan benar. "[Solusi kami] tidak bekerja dengan lalu lintas dari aplikasi lain, seperti VPN sistem, tetapi pada akhirnya, itu hanya VPN browser."

Bagaimana Opera menghasilkan uang dari Anda:

• Memberikan informasi tentang Anda kepada mitra komersial.
• Izin (berdasarkan komersial) untuk melacak informasi tentang Anda.

Komentar oleh Stanislav Shakirov, Direktur Teknis RosKom Svoboda :

“Mengumpulkan metadata dan menjualnya ke agen pemasaran adalah praktik standar untuk banyak layanan Internet, bukan hanya VPN. Seringkali ini ditulis dalam Perjanjian Pengguna, tetapi biasanya tidak ada yang membacanya. Adapun layanan VPN, tentu saja, lebih baik memilih yang tidak: tidak diketahui bagaimana informasinya, meskipun dianonimkan, kemudian akan diproses, karena darinya, juga dapat ditarik kesimpulan yang dapat membahayakan pengguna.

VPN adalah bisnis yang beroperasi dalam yurisdiksi tertentu. Karenanya, ya, sangat sah untuk mengumpulkan dan mengirimkan data dengan memberi tahu pengguna tentang hal ini dalam Perjanjian Pengguna. Jika tidak ada yang dikatakan tentang ini dalam Perjanjian Pengguna, penyedia VPN tidak memiliki hak untuk mentransfer apa pun ke pihak ketiga. Tetapi apakah ini de facto tidak diketahui: layanan ini juga perlu hidup berdasarkan sesuatu, jika gratis.

Ketika kita mulai menggunakan layanan apa pun, lebih baik untuk segera memikirkan bagaimana hal itu menghasilkan uang. Jika layanan ini gratis dan tidak menjual metadata Anda, maka itu mungkin memasukkan iklannya atau memotong data sensitif Anda, seperti login, kata sandi, data kartu bank. Kebetulan layanan VPN yang besar dan layak membuat tarif promo gratis, tetapi biasanya terbatas dalam kecepatan atau lalu lintas. Anda juga perlu memahami cara kerja layanan itu sendiri. Ingat cerita yang tidak menyenangkan dengan plugin Hola, yang konon memberikan VPN gratis, tetapi ternyata ketika menggunakan plugin tersebut pengguna lain dapat mengakses jaringan melalui komputer Anda. Jika tindakan orang-orang tersebut di jaringan melanggar hukum, polisi akan mendatangi pemilik komputer. ”

Alih-alih sebuah epilog

Berdasarkan pengalaman pribadi kami selama bertahun-tahun, kami dapat menyatakan secara bertanggung jawab: layanan VPN kami sendiri sangat mahal bagi pemilik. Penyedia harus membayar:

1. Pemeliharaan jaringan server di berbagai negara;
2. Lalu lintas, yang untuk layanan semacam itu tidak pernah gratis dan tidak terbatas karena besarnya volume konsumsi pengguna;
3. Dukungan teknis, pemantauan, dan pengembangan perangkat lunak setiap saat.

Ini tidak termasuk dukungan pengguna, dana pengembangan, dan setidaknya beberapa jenis iklan.

Pada dasar bebas altruistik, keberadaan layanan seperti itu di alam semesta kita di bawah banyak pertanyaan. Untuk apa pemilik ini? Dana apa yang digunakan untuk mengimbangi pengeluaran? Apa yang diminta dari pengguna sebagai imbalan? Berguna untuk mengajukan pertanyaan ini tidak hanya membebaskan layanan VPN, tetapi juga layanan shareware lainnya di Internet. Terutama yang bekerja dengan data pengguna yang sensitif.