Чем опасны бесплатные VPN и что они делают с вашими данными
Бесплатный VPN выглядит как простое решение: скачал, нажал кнопку, интернет работает. Но у любого бесплатного сервиса есть бизнес-модель. И если вы не платите деньгами, значит платите чем-то другим. В случае с VPN — чаще всего своими данными.
Как бесплатные VPN зарабатывают
Содержать серверы, которые пропускают через себя трафик миллионов пользователей, стоит денег. Аренда серверов, трафик, поддержка — всё это реальные расходы. Если сервис не берет денег с пользователей, значит он получает деньги откуда-то ещё.
Самая распространённая схема — продажа данных рекламным сетям. VPN видит весь ваш незашифрованный трафик: какие сайты вы посещаете, что ищете, какими приложениями пользуетесь. Эта информация стоит денег на рекламном рынке. Агрегированные профили пользователей покупают рекламные платформы, брокеры данных, аналитические компании.
Некоторые сервисы идут дальше. В 2015 году популярный бесплатный VPN Hola был пойман на том, что продавал пропускную способность пользовательских устройств: трафик других людей шел через телефоны и компьютеры обычных пользователей без их ведома. По факту каждый пользователь Hola становился узлом в чужой сети — и не знал об этом.
Что конкретно собирают бесплатные VPN
Исследования регулярно показывают одну и ту же картину. Среди типичного, что фиксируют в политиках конфиденциальности или обнаруживают при техническом аудите бесплатных VPN:
Логи активности. Какие сайты вы посещали, когда, как долго. Многие бесплатные сервисы прямо прописывают в политике конфиденциальности, что ведут такие логи. Читать эти документы перед установкой — полезная привычка, которой почти никто не следует.
IP-адреса. Реальный IP-адрес пользователя при подключении. Формально VPN должен его скрывать — но от кого скрывать, если сам VPN-сервис его записывает?
Данные устройства. Модель телефона, версия операционной системы, идентификаторы устройства. В сочетании с историей активности это позволяет однозначно идентифицировать конкретного человека даже без имени.
DNS-запросы. Каждый раз, когда вы открываете сайт, устройство делает DNS-запрос — переводит адрес сайта в IP. Бесплатный VPN нередко пропускает эти запросы мимо туннеля или записывает их отдельно.
Встроенная реклама и подмена трафика
Часть бесплатных VPN идет на более агрессивные методы монетизации. Они встраивают рекламу прямо в просматриваемые страницы — добавляют баннеры на сайты, которые вы открываете, или подменяют существующую рекламу своей. Технически это называется инъекция трафика, и это именно то, что звучит: вмешательство в ваш трафик на лету.
Это не только раздражает. Это означает, что сервис активно модифицирует данные, которые вы получаете из интернета. Если он может вставить рекламу, он может вставить что угодно.
Вредоносное ПО в дистрибутивах
Отдельная категория риска — бесплатные VPN из неофициальных источников. APK-файлы с неизвестных сайтов, приложения вне Google Play, модифицированные версии известных клиентов. В таких дистрибутивах регулярно обнаруживают встроенные стилеры, майнеры и трояны.
Но и в официальных магазинах ситуация не идеальна. Google Play периодически удаляет VPN-приложения, которые оказываются вредоносными, — уже после того как их скачали миллионы пользователей.
Утечки трафика
Технически корректный VPN должен пропускать через туннель весь трафик без исключения. Но у многих бесплатных сервисов есть утечки: DNS-запросы идут мимо туннеля, реальный IP «протекает» через WebRTC, IPv6-трафик не шифруется. В итоге пользователь думает, что защищен, а его реальный адрес и активность видны всем желающим.
Проверить наличие утечек можно на специальных сайтах — ищите по запросу «VPN leak test». Если бесплатный VPN проваливает такую проверку, он не защищает вообще ничего — только создает иллюзию безопасности.
Юрисдикция и требования властей
VPN-сервис зарегистрирован в какой-то стране — и обязан соблюдать её законы. Если компания находится в юрисдикции, где суд может потребовать передать данные о пользователях, она это сделает. Бесплатные сервисы нередко регистрируются в странах с мягким законодательством, но это не гарантия: непрозрачная структура собственности означает, что вы вообще не знаете, кто за сервисом стоит и кому он передает данные.
Чем отличается платный VPN
Платный VPN зарабатывает на подписках пользователей — и именно поэтому ему выгодно не продавать данные налево. Репутация для таких сервисов стоит денег. Крупные игроки — Mullvad, ProtonVPN, NordVPN — регулярно проходят независимые аудиты, которые проверяют, действительно ли они не ведут логи. Результаты аудитов публикуются.
Это не значит, что любой платный VPN автоматически хорош. Но бизнес-модель у него принципиально другая: клиент платит за сервис, а не является товаром.
Если платить не хочется, у ProtonVPN есть бесплатный тариф с честными условиями: ограниченное количество серверов и скорость, но без продажи данных и с проверяемой политикой конфиденциальности. Это исключение из общего правила — и оно существует именно потому, что у компании есть платная база пользователей, которая финансирует бесплатный уровень.
Короткий итог
Бесплатный VPN — не нейтральный инструмент. Он либо продает ваши данные, либо показывает рекламу, либо использует ваше устройство в своих целях, либо просто плохо работает и не защищает ничего. Иногда всё сразу.
Если VPN нужен для реальной защиты или обхода блокировок — стоит потратить несколько сотен рублей в месяц на проверенный платный сервис. Если нужен только Telegram — проще и безопаснее использовать MTProto прокси, который не видит ничего, кроме трафика мессенджера.