VPN (Virtual Private Network) - уже давно не нишевый инструмент в интернете. С помощью VPN можно скрыть свой IP-адрес и зашифровать трафик, и в 2025 году, по оценкам, до двух миллиардов человек регулярно пользовались услугами VPN-провайдеров: кто-то для обхода геоблокировок, кто-то, как жители стран с цензурой, для доступа к независимым СМИ или к Youtube c месседжерами.

Те, кто пользуется VPN в таких странах, как Иран, Китай или РФ, рассчитывают на то, что провайдер, получив личные данные пользователя, будет конфиденциально обращаться с ними. Но можно ли доверять тем, кто обещает анонимность и обход блокировок? Объемное исследование организации Open Technology Fund, независимой некоммерческой структуры, выступающей за глобальную интернет-свободу, выявило ряд вызывающих тревогу недостатков у нескольких крупных VPN-провайдеров.

Когда интернет-следы уходят в Китай

Список проблем начинается с непрозрачных структур собственности у нескольких провайдеров. "Многие VPN-сервисы скрывают настоящих владельцев за сложными корпоративными конструкциями", - отмечается в исследовании. Так, например, компании Innovative Connecting PTE, Autumn Breeze PTE и Lemon Clove PTE утверждают, что зарегистрированы в Сингапуре. На самом деле ими управляют граждане КНР прямо из Китая, и поэтому они подпадают под китайские законы об информационном контроле. Многие VPN создают фиктивные фирмы в странах с недостаточно строгими законами о хранении данных, говорится в похожем исследовании британской компании по защите прав клиентов Comparitech.

8 провайдеров и 16 VPN-сервисов "крайне проблематичны"

Проблема еще в том, что значительное число доступных пользователям VPN-сервисов фактически разрабатываются одними и теми же компаниями, просто оказываются на рынке под разными логотипами. "Небольшое число фирм с помощью тактики white label контролирует непропорционально большую часть рынка VPN", - говорится в исследовании. White label - дословно, "белая этикетка", обозначает коммерческую практику, когда разработчик создает сервис, другие компании покупают его, выпуская под своими названиями, а покупатель, как правило, не знает исходного разработчика.

Всего авторы исследования охарактеризовали восемь VPN-провайдеров как "крайне проблематичные". Эти восемь компаний скрывают связи между собой, присутствуя на рынке и выпустив 16 различных VPN-приложений, которые суммарно загрузили более 700 миллионов (!) пользователей в Google Play Store. Приложения, распространяемые этими провайдерами, имеют проблемы с безопасностью и защитой данных, из-за чего пользователи подвергаются риску слежки, говорится в исследовании Open Technology Fund.

Среди приложений, которые названы "чрезвычайно тревожными", - Turbo VPN, VPN Proxy Master, XY VPN и 3X VPN, каждое из которых было загружено в Google Play Store более 100 миллионов раз. Сотни миллионов интернет-пользователей пребывают в иллюзии безопасности, которой на самом деле нет, делают вывод авторы доклада. "Провайдеры используют так называемый туннельный протокол Shadowsocks (зашифрованный протокол передачи данных. - Ред.), который не предназначен для обеспечения конфиденциальности, и утверждают, что соединения их пользователей безопасны", - указывают авторы доклада.

Заранее заданные пароли - риск для безопасности

Проблема протокола шифрования Shadowsocks в том, что в нем заранее прописаны и сохранены внутри приложений пароли, это значительная уязвимость, говорится в исследовании, - злоумышленники могут найти эти пароли и таким образом расшифровать и перехватить всю коммуникацию. Другая причина для беспокойства - многие провайдеры используют арендуемые серверы в дата-центрах, не имея полного контроля над оборудованием. Наконец, часть VPN-приложений тайно собирают данные о местоположении пользователей, несмотря на противоположные заявления в их политике конфиденциальности.

К сожалению, VPN-сервисы могут создавать ложное чувство безопасности, а в худшем случае - подрывать приватность и угрожать безопасности своих пользователей, приходят к выводу авторы исследования. Особый риск они видят в использовании услуг компаний Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology и Yolo Mobile Technology Limited. В своих рекомендациях авторы предлагают использовать платные VPN, которые не дают оснований сомневаться в их надежности, - значимых проблем с безопасностью не было выявлено, например, у таких провайдеров, как Lantern, Psiphon, ProtonVPN или Mullvad.

Противоречие бесплатных VPN-услуг

Один из авторов исследования, Бенджамин Миксон-Бака, назвал опубликованные данные "катастрофой для приватности и безопасности". "Пользователи живут в иллюзии безопасности, тогда как власти могут видеть все, что они делают", - добавил Миксон-Бака. Учитывая, что компании сознательно скрывают свою настоящую принадлежность и при этом, несмотря на обещания, собирают географические данные, речь идет "о грубом нарушении доверия пользователей".

Для гарантии безопасности следует отдавать предпочтение VPN-провайдерам, которые обеспечивают полную прозрачность в вопросах собственности, инфраструктуры и юрисдикции, рекомендуют авторы исследования. Открытый исходный код и независимые аудиты названы ключевыми признаками качества таких сервисов. 

Исследование тем самым подтвердило известный тезис, что бесплатные VPN-услуги несут больший риск, чем платные. В подобных услугах заложено фундаментальное противоречие, объясняет Миксон-Бака: "Защита данных и безопасность - то, что пользователи ожидают получить, - находятся в прямом конфликте с необходимостью сервисов жить за счет рекламы и желанием зарабатывать деньги. Наше и другие исследования показывают, что сочетание приватности с рекламной моделью никогда не заканчивается хорошо".