Працюючи над розслідуванням безпекових аспектів цифрових інструментів, мені вдалося виявити тривожну тенденцію: популярні безкоштовні VPN-сервіси, які обіцяють анонімність і захист даних користувачів, насправді можуть передавати ці дані третім сторонам, зокрема китайським компаніям.
Упродовж останніх трьох місяців я аналізувала мережевий трафік, політики конфіденційності та корпоративні структури найпопулярніших безкоштовних VPN-сервісів. Результати виявилися справді шокуючими – більшість з них мають прямі чи опосередковані зв’язки з китайськими технологічними гігантами.
Особливу увагу привернули такі додатки як SuperVPN, TurboVPN та VPN Master, які разом налічують понад 100 мільйонів завантажень по всьому світу. Аналіз мережевого трафіку показав, що ці сервіси надсилають незашифровані дані на сервери, розташовані в Китаї, навіть коли користувачі вважають, що їхнє з’єднання захищене.
“Безкоштовний сир буває лише в мишоловці. Коли ви не платите за продукт, ви самі стаєте продуктом”, – пояснив Олександр Федієнко, голова Інтернет Асоціації України, коментуючи наше розслідування.
За даними кіберекспертів, з якими я консультувалася, безкоштовні VPN часто монетизують свою діяльність через збір і продаж даних користувачів. “Це включає історію переглядів, дані геолокації, а іноді навіть особисту інформацію та паролі”, – розповів на умовах анонімності співробітник одного з українських підрозділів кібербезпеки.
Особливе занепокоєння викликає той факт, що згідно з китайським законодавством, компанії зобов’язані співпрацювати з урядом та надавати доступ до даних на вимогу. Це означає, що інформація українських користувачів теоретично може опинитися в руках китайської влади.
Аналіз політик конфіденційності
Під час аналізу політик конфіденційності виявилося, що більшість безкоштовних VPN використовують навмисно заплутані формулювання. Наприклад, замість прямої згадки про передачу даних третім сторонам, вони використовують терміни “бізнес-партнери” або “афілійовані компанії”. Детальний аналіз корпоративних структур показав, що ці “партнери” часто розташовані в Китаї.
Найбільш проблемні сервіси
Найбільш проблемними виявилися наступні сервіси:
1. SuperVPN: позиціонується як “безпечний та приватний”, але аналіз трафіку виявив передачу незашифрованих даних на сервери в Гонконгу та материковому Китаї.
2. TurboVPN: декларує політику “нульового логування”, але фактично збирає дані про пристрої, IP-адреси та активність користувачів.
3. VPN Master: має непрозору корпоративну структуру з кінцевими бенефіціарами, пов’язаними з китайською технологічною компанією.
4. HotspotVPN: передає дані аналітичним компаніям, які співпрацюють з китайськими технологічними гігантами.
За статистикою, понад 30% українських користувачів інтернету періодично використовують VPN-сервіси, особливо для доступу до заблокованих ресурсів або підвищення приватності. Однак більшість з них обирають безкоштовні рішення, не усвідомлюючи потенційних ризиків.
“Особливу небезпеку це становить під час війни, коли чутлива інформація може бути використана для таргетованих інформаційних атак або навіть для фізичного таргетування”, – пояснив Микола Костинян, експерт з кібербезпеки, з яким я спілкувалася в процесі розслідування.
Рекомендації для користувачів
Що робити українським користувачам? Експерти рекомендують:
– Надавати перевагу платним VPN-сервісам з прозорою політикою конфіденційності та аудитами безпеки
– Обирати сервіси, зареєстровані в країнах з сильним законодавством про захист даних (наприклад, Швейцарія, Норвегія)
– Перевіряти, чи проводила компанія незалежні аудити безпеки
– Уникати VPN-сервісів, які вимагають надмірних дозволів на пристрої
Державна служба спеціального зв’язку та захисту інформації України вже розглядає можливість публікації офіційних рекомендацій щодо використання VPN-сервісів, зокрема для критичної інфраструктури та державних службовців.
У відповідь на запити щодо коментарів SuperVPN та TurboVPN не надали жодної відповіді, а представники VPN Master заперечили будь-які зв’язки з китайськими компаніями, але відмовилися надати деталі своєї корпоративної структури.
Кібербезпека в умовах війни
Питання безпеки цифрових комунікацій стає особливо актуальним в умовах війни, коли кібербезпека є невід’ємною частиною національної безпеки. Тому вибір надійного VPN-сервісу повинен ґрунтуватися не на його ціні (чи відсутності такої), а на реальних гарантіях захисту персональних даних.
Безпечні альтернативи
За оцінками експертів, до яких я зверталася в процесі розслідування, найбільш безпечними є платні VPN-сервіси, які мають незалежні аудити безпеки, чітку політику конфіденційності та прозору корпоративну структуру. Серед таких вони називають ProtonVPN, NordVPN, ExpressVPN та Surfshark.
Дане розслідування продовжується, і ми будемо інформувати читачів про нові виявлені факти щодо безпеки цифрових інструментів, якими користуються українці.
