VPN (Virtual Private Network) уже давно не є нішевим інструментом в інтернеті. За допомогою VPN можна приховати свою IP-адресу і зашифрувати трафік. У 2025 році, за оцінками, близько двох мільярдів людей регулярно користувалися послугами VPN-провайдерів: хтось для обходу геоблокувань, хтось, як жителі країн із цензурою, для доступу до незалежних ЗМІ або до Youtube та месенджерів.

Користувачі VPN у таких країнах, як Іран, Китай або Росія, розраховують на те, що провайдер, отримавши особисті дані користувача, конфіденційно поводитиметься з ними. Але чи можна довіряти тим, хто обіцяє анонімність і обхід блокувань? Ґрунтовне дослідження, що його провела незалежна й некомерційна організація Open Technology Fund, яка виступає за глобальну інтернет-свободу, виявило низку тривожних недоліків у кількох великих VPN-провайдерів.

Коли інтернет-сліди ведуть до Китаю

Список проблем починається з непрозорих структур власності у низки провайдерів. "Багато VPN-сервісів приховують справжніх власників за складними корпоративними конструкціями", - зазначається в дослідженні. Так, наприклад, компанії Innovative Connecting PTE, Autumn Breeze PTE і Lemon Clove PTE стверджують, що зареєстровані в Сінгапурі. Насправді ж ними керують громадяни КНР прямо з Китаю, і тому вони підпадають під китайські закони про інформаційний контроль. Багато VPN створюють фіктивні фірми у країнах з недостатньо суворими законами про зберігання даних, говориться в подібному дослідженні британської компанії із захисту прав клієнтів Comparitech.

8 провайдерів і 16 VPN-сервісів "вкрай проблематичні"

Проблема ще й у тому, що значна кількість VPN-сервісів, які є доступними для користувачів, фактично розробляються одними й тими ж компаніями, а на ринку з'являються просто під різними логотипами. "Невелика кількість фірм за допомогою тактики white label контролює непропорційно велику частину ринку VPN", - говориться в дослідженні. White label - дослівно, "біла етикетка", позначає комерційну практику, коли розробник створює сервіс, інші компанії купують його, випускаючи під своїми назвами, а покупець, як правило, не знає вихідного розробника. 

Автори дослідження визначили загалом вісім VPN-провайдерів як "вкрай проблематичних". Ці вісім компаній приховують зв'язки між собою, присутні на ринку і випустили 16 різних VPN-додатків, які сумарно завантажили понад 700 мільйонів (!) користувачів в Google Play Store. Додатки, що поширюються цими провайдерами, мають проблеми з безпекою та захистом даних, через що користувачі наражаються на ризик стеження, йдеться в дослідженні Open Technology Fund.

Серед додатків, які віднесли до "надзвичайно тривожних", - Turbo VPN, VPN Proxy Master, XY VPN і 3X VPN, кожен з яких було завантажено в Google Play Store понад 100 мільйонів разів. Сотні мільйонів інтернет-користувачів перебувають в ілюзії безпеки, якої насправді немає, доходять висновку автори доповіді. "Провайдери використовують так званий тунельний протокол Shadowsocks (зашифрований протокол передачі даних. - Ред.), не призначений для забезпечення конфіденційності, і стверджують, що з'єднання їхніх користувачів безпечні", - вказують автори дослідження.

Заздалегідь задані паролі - ризик для безпеки

Проблема протоколу шифрування Shadowsocks в тому, що в ньому заздалегідь прописано і збережено всередині додатків паролі. Це слабке місце, зазначається в дослідженні, - зловмисники можуть знайти ці паролі і таким чином розшифрувати та перехопити всю комунікацію. Інша причина для занепокоєння - багато провайдерів використовують орендовані сервери в дата-центрах, тобто вони не мають повного контролю над обладнанням. І зрештою, частина VPN-додатків таємно збирає дані про місцезнаходження користувачів, попри протилежні запевнення в їхній політиці конфіденційності.

На жаль, VPN-сервіси можуть створювати помилкове відчуття безпеки, а в гіршому випадку - підривати приватність та загрожувати безпеці своїх користувачів, застерігають автори дослідження. Особливий ризик вони вбачають у використанні послуг компаній Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology і Yolo Mobile Technology Limited. У своїх рекомендаціях автори пропонують використовувати платні VPN, які не дають підстав сумніватися в їхній надійності, - значущих проблем з безпекою не було виявлено, наприклад, у таких провайдерів, як Lantern, Psiphon, ProtonVPN або Mullvad. 

Суперечність безкоштовних VPN-послуг

Один з авторів дослідження, Бенджамін Міксон-Бака, назвав опубліковані дані "катастрофою для приватності та безпеки". "Користувачі живуть в ілюзії безпеки, тоді як влада може бачити все, що вони роблять", - додав він. З огляду на те що компанії свідомо приховують свою справжню приналежність і при цьому, попри обіцянки, збирають географічні дані, мова йде "про грубе порушення довіри користувачів".

Для гарантії безпеки слід віддавати перевагу VPN-провайдерам, які забезпечують повну прозорість у питаннях власності, інфраструктури та юрисдикції, радять автори дослідження. Ключовими ознаками якості таких сервісів є відкритий вихідний код і незалежні аудити. 

Дослідження тим самим підтвердило відому тезу про те, що безкоштовні VPN-послуги несуть більший ризик, ніж платні. У подібних послугах закладено фундаментальну суперечність, пояснює Міксон-Бака: "Захист даних і безпека - те, що користувачі очікують отримати, - перебувають у прямому конфлікті з необхідністю сервісів жити за рахунок реклами й бажанням заробляти гроші. Наше та інші дослідження показують, що поєднання приватності з рекламною моделлю ніколи не закінчується добре".