Como os provedores de VPN de shareware vendem seus dados

Oi Habr.

Temos as novidades para você: não há VPNs gratuitas. Você sempre paga - visualizando anúncios ou seus próprios dados. Para os apologistas da idéia básica do anonimato na Internet, o último método de pagamento é especialmente desagradável. O problema é que você decide vender ou transferir informações sobre você para terceiros.



Os contratos de usuário estão em toda parte, mas quem os lê? No verão de 2017, 22.000 britânicos concordaram em limpar banheiros públicos, entrando on-line através da rede Wi-Fi pública (eu me pergunto o que concordamos em nos conectar ao Wi-Fi no metrô russo). O projeto sem fins lucrativos Melhores Serviços VPN realizou um estudo e descobriu que alguns provedores de VPN compartilham dados do usuário "legalmente" - isso é afirmado no Contrato do Usuário, mesmo dos mais populares. Hoje faz exatamente um ano desde a publicação desse material, e decidimos ver se as informações do estudo permaneciam relevantes.

De acordo com um artigo de The Best VPN Services, alguns serviços de VPN transferem informações sobre usuários para empresas relacionadas a provedores ou para aqueles que simplesmente pagam mais. Além disso, muitos serviços não informam aos usuários como ganhar dinheiro com eles, ou falam sobre isso de forma opaca: aqui você pode ler a reclamação do Centro Americano para Democracia e Tecnologia (CDT) sobre o trabalho do shareware Hotspot Shield Free VPN endereçado à Federal Trade Commission. O serviço violou sua própria política de privacidade e coletou endereços MAC, IMEI, nomes de redes sem fio e outras informações do usuário. Após a engenharia reversa do aplicativo cliente, os pesquisadores encontraram cinco bibliotecas diferentes que poderiam ser usadas para desanonimização.

E aqui você pode descobrir o que a Organização para Pesquisa Científica e Industrial (CSIRO) pensa sobre aplicativos VPN do Google Play: 84% deles contribuem para o vazamento de tráfego. Outra característica dos serviços VPN shareware é a distribuição de links para sites de determinadas empresas e publicidade intrusiva.

Como é um acordo com um diabo de VPN?

Os pesquisadores dos melhores serviços de VPN classificaram os 10 provedores de VPN mais populares que podem vender seus dados pessoais para outras empresas e pessoas:

• Hola
• Betternet
• Opera VPN
• Escudo de ponto ativo
• Psiphon
• Onavo proteger
• Zpn
• HoxxVPN
• Finchvpn
• TouchVPN

Assumimos que, na verdade, existem muitos outros serviços desse tipo. Mas os fornecedores acima não escondem isso - apenas ninguém lê seus contratos de usuário.

Vamos nos concentrar nas “descobertas” mais interessantes do projeto Os Melhores Serviços de VPN e considerar os três maiores provedores de VPN. Uma análise de cada um dos dez serviços selecionados pode ser encontrada na página de estudo , ajustada para o fato de ter sido publicada em maio de 2018. Vamos falar sobre os dados atualizados.

Hola e vender seus dados para "apenas clientes decentes"

Hola é uma VPN baseada em navegador com mais de 150 milhões de usuários. A empresa explora a idéia de "liberdade suportada pela comunidade": a VPN é gratuita, mas você pode adicionar ao serviço.

Após um ataque DDoS ao conselho da 8chan em 2015 (há um artigo sobre o Habr), a Hola vende canais de usuários da Internet para terceiros: em particular, os dados do usuário são enviados para a rede comercial Luminati. Essas informações causaram uma ótima resposta na comunidade da Internet, e um grupo de ativistas criou o site da Adios, Hola! onde denuncia vulnerabilidades de extensão.

Resposta oficial da Hola: “Somos uma empresa inovadora. O Skype também usou seu tráfego. Vendemos Luminati apenas para clientes respeitáveis ​​(não como o Tor). Todo mundo tem vulnerabilidades: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft . ”

Vejamos o contrato de usuário do Hola, que foi relevante em 2018:



O fornecedor honestamente chama seus objetivos: pesquisa, análise e marketing. Mas isso não parece anonimato. Um novo contrato é assim:

Fonte: hola.org/legal/privacy (2019)

A coleta de dados para "melhorar a qualidade ou fornecer serviços" é um item frequente em muitos serviços de VPN. Mas aqui, o provedor novamente relata abertamente que compartilha dados do usuário com outras empresas. Ao mesmo tempo, o Hola armazena os dados do usuário para sempre - desde que seja necessário para garantir a operação do serviço:


Fonte: hola.org/legal/privacy (2019)

Anteriormente, o provedor não ocultava o fato de as informações do usuário entrarem na rede comercial Luminati. Em outras palavras, o acesso ao seu computador costumava ser vendido para as pessoas que pagam por ele. Não se sabe se Hola está fazendo algo semelhante hoje: a redação em privacidade agora é bastante vaga.

Aqui está um trecho da antiga Política de Privacidade:


Fonte: hola.org/legal/privacy (2018). Agora, o site Hola não tem mais essas informações

Maneiras de ganhar Hola:

• O provedor pode transferir suas informações pessoais para terceiros.
• O provedor usa o dispositivo do usuário como um nó de rede e obtém acesso a ele até você usar a VPN (promete deixar informações pessoais seguras e usar o gadget apenas como roteador).

Segundo Hola, na verdade eles não transmitem informações a terceiros. Eles têm uma versão paga que as empresas e corporações usam. Eles usam "uma pequena parte dos recursos do seu computador quando não estão em uso (para que nunca diminuamos a velocidade) para o benefício da rede" .


Fonte: hola.org/faq

Betternet e drene o histórico do seu navegador

O Betternet é outro importante serviço de VPN com versões gratuitas e premium, com mais de 38 milhões de usuários. No site oficial, o provedor está tentando responder honestamente à questão de onde obtém o dinheiro : os usuários são convidados a instalar aplicativos de terceiros e assistir a um vídeo publicitário. Ou compre uma assinatura para obter o "nível mais alto de serviço". Isso significa que seus dados não são vendidos? Não parece.

"Podemos compartilhar sua localização (no nível da cidade)" ...

Fonte: www.betternet.co/privacy-policy

O CSIRO também observou que o Betternet possui uma biblioteca de larga escala com dados do usuário. Em 2018, sua Política de Privacidade parecia diferente: a Betternet afirmou que os anunciantes podem acessar o histórico do navegador do usuário.


Captura de tela da Política de Privacidade anterior (2018)

Como a Betternet ganha dinheiro com os usuários hoje:

• Os anunciantes têm acesso à localização aproximada do usuário (no nível da cidade).
• Exibir publicidade.

Fantasma da VPN no Opera

Uma VPN honesta e gratuita pode ser uma ótima maneira de popularizar o navegador Opera. Na primavera de 2018, o aplicativo móvel Opera VPN anunciou o término do trabalho e agora o site anterior não está mais disponível. Mas a VPN gratuita no Opera desde 2016 não foi a lugar nenhum. Ao mesmo tempo, a política de privacidade que pode ser encontrada no site é a mesma para todos os produtos: o Opera pode coletar seus dados pessoais. Incluindo para campanhas de marketing. A política de privacidade permite que o provedor forneça informações a terceiros e rastreie seus dados.


Fonte: www.opera.com/privacy

“Ao instalar o aplicativo Opera, um identificador de instalação aleatório é gerado. Podemos coletar esse identificador, bem como o identificador de suas especificações de dispositivo e hardware, configuração do sistema operacional e ambiente, dados sobre o uso de funções. Usamos essas informações para fins comerciais legítimos específicos:

• Para entender melhor como as pessoas interagem com nossos aplicativos e serviços;
• Alterar, personalizar ou melhorar nossos aplicativos e serviços;
• Determinar a eficácia de campanhas publicitárias e publicidade;
• Detectar, depurar e corrigir falhas em nossos aplicativos e serviços;
• Para evitar violações e abusos de segurança.

Essas informações nos ajudam a melhorar nossos produtos e serviços. Não temos como usar essas informações para identificá-lo pessoalmente. Podemos armazenar esses dados por até três anos ... "


Fonte: www.opera.com/privacy

O pesquisador polonês Mikhail Shpachek acredita que essa não é uma VPN, mas o proxy mais comum. Shpachek postou a prova no GitHub, aqui está o seu comentário:

“Esta VPN Opera é basicamente apenas um proxy HTTP / S reconfigurado que protege apenas o tráfego entre o Opera e o proxy, nada mais. Esta não é uma VPN. Nas configurações, eles mesmos chamam essa função de "proxy protegido" (e também chamam de VPN, é claro). "

Os desenvolvedores de navegadores respondem:

"Chamamos nossa VPN de" VPN de navegador ". Sob o capô, essa solução protegeu proxies que funcionam em diferentes partes do mundo, por onde passa todo o tráfego do navegador, criptografado adequadamente. "[Nossa solução] não funciona com o tráfego de outros aplicativos, como VPNs de sistema, mas, no final, é apenas uma VPN de navegador."

Como o Opera ganha dinheiro com você:

• Fornecendo informações sobre você para parceiros comerciais.
• Permissão (em uma base comercial) para rastrear informações sobre você.

Comentário de Stanislav Shakirov, diretor técnico da RosKom Svoboda :

“A coleta e a venda de metadados para agências de marketing é uma prática padrão para muitos serviços da Internet, não apenas para VPNs. Muitas vezes, isso está escrito em Contratos de usuário, mas geralmente ninguém lê. Quanto aos serviços de VPN, é claro que é melhor escolher aqueles que não o fazem: não se sabe como as informações, embora anonimizadas, serão processadas, porque a partir daí você também pode tirar conclusões que podem prejudicar o usuário.

VPN é uma empresa que opera dentro de uma jurisdição específica. Portanto, sim, é absolutamente legal coletar e transmitir dados notificando o usuário sobre isso nos Contratos de Usuário. Se nada for dito sobre isso nos Contratos de usuário, o provedor de VPN não tem o direito de transferir nada para terceiros. Mas se isso é de fato não se sabe: o serviço também precisa viver de algo, se for gratuito.

Quando começamos a usar qualquer serviço, é melhor pensar imediatamente em como ele ganha dinheiro. Se o serviço é gratuito e não vende seus metadados, provavelmente ele insere seus anúncios ou intercepta seus dados confidenciais, como logins, senhas e dados de cartões bancários. Acontece que serviços VPN grandes e decentes fazem tarifas promocionais gratuitas, mas geralmente são limitadas em velocidade ou tráfego. Você também precisa entender como o serviço em si funciona. Lembre-se da história desagradável com o plug-in Hola, que supostamente fornecia uma VPN gratuita, mas, ao usar o plug-in, outros usuários poderiam acessar a rede através do seu computador. Se as ações de tais pessoas na rede forem ilegais, a polícia procurará o proprietário do computador. ”

Em vez de um epílogo

Com base em nossos muitos anos de experiência pessoal, podemos declarar com responsabilidade: nosso próprio serviço de VPN é muito caro para os proprietários. O provedor deve pagar:

1. Manutenção de uma rede de servidores em vários países;
2. Tráfego, que para esses serviços nunca é gratuito e ilimitado devido ao grande volume de consumo do usuário;
3. Suporte técnico 24 horas, monitoramento e desenvolvimento de software.

Isso não inclui suporte ao usuário, fundos de desenvolvimento e pelo menos algum tipo de publicidade.

Em uma base livre de altruístas, a existência desse serviço em nosso universo está sob muitas questões. Para que servem esses proprietários? Quais fundos são usados ​​para compensar despesas? O que é pedido ao usuário em troca? É útil fazer essas perguntas não apenas para liberar serviços VPN, mas também para outros serviços shareware na Internet. Especialmente aqueles que trabalham com dados confidenciais do usuário.