Каждый раз, когда кто-то в чате скидывает ссылку на «классный бесплатный VPN», у меня внутри срабатывает тревожка. Не потому что я снобствую, а потому что за последние годы накопилось достаточно историй, чтобы понимать: почему бесплатный VPN опасен — это не маркетинговая страшилка, а вполне задокументированная реальность. И вот тут начинается интересное — люди продолжают ими пользоваться, потому что «ну а чё, работает же».
Работает. Вопрос только — на кого.
Если вы не платите за продукт — вы и есть продукт
Эту фразу затёрли до дыр, но от этого она не перестала быть правдой. Содержание VPN-сервиса — штука дорогая. Серверы в разных странах, аренда IP-адресов, канал связи, команда разработки, поддержка. Один приличный сервер в Нидерландах обходится от $50–80 в месяц. А их нужны десятки, иногда сотни.
Откуда берутся деньги у бесплатного VPN? Вариантов немного:
- Продажа ваших данных — логи посещений, поисковые запросы, история переходов. Всё это пакуется и уходит рекламным сетям, брокерам данных, а иногда — вообще непонятно кому.
- Встроенная реклама — баннеры, редиректы, подмена ссылок. Некоторые бесплатные VPN подменяют рекламные блоки на сайтах своими, перехватывая чужой рекламный трафик.
- Продажа вашего канала — ваш интернет-канал и IP-адрес используются как выходной узел для других людей. По сути, вы становитесь чьим-то прокси. Со всеми юридическими последствиями.
Последний пункт — не теория. В 2015 году выяснилось, что Hola VPN, у которого было больше 50 миллионов установок, именно так и работал. Трафик одних людей шёл через устройства других. Часть этой мощности продавалась через дочернюю компанию Luminati (сейчас Bright Data). Скандал был громкий, но Hola до сих пор существует.
Утечки, которые хуже отсутствия VPN
Допустим, вам повезло и ваш бесплатный VPN не торгует данными. Есть проблема похуже — он может просто плохо работать. И это не «ну, скорость низкая». Это утечки DNS, утечки WebRTC, отсутствие kill switch.
Что это значит на практике? Вы думаете, что сидите через VPN. Ваш браузер показывает иностранный IP. А ваши DNS-запросы — то есть информация о каждом сайте, который вы открываете — летят напрямую через вашего провайдера. Без шифрования. В открытом виде.
В 2021 году исследователи из CSIRO проанализировали 283 бесплатных VPN-приложения для Android. Результат: 84% из них допускали утечку пользовательского трафика, 18% вообще не шифровали данные, а 38% содержали вредоносный код или рекламные трекеры.
38 процентов. Больше трети. То есть вы скачиваете приложение, которое обещает вас защитить, а оно ставит вам на телефон малварь. Ирония толстая, как учебник по кибербезопасности.
И самое неприятное — вы об этом не узнаете. Нет никакого уведомления «Ваши DNS-запросы утекли». Вы просто живёте с ложным чувством безопасности, что по-моему хуже, чем вообще не пользоваться VPN. Потому что без VPN вы хотя бы не делаете того, что делали бы «под защитой».
Юрисдикция и логирование: мелкий шрифт никто не читает
Когда платный VPN-сервис заявляет «no logs policy», за этим обычно стоит аудит от независимой компании, юрисдикция в стране без обязательного хранения данных, репутационные риски в случае обмана. Это не гарантия, но хотя бы система сдержек.
У бесплатных VPN ничего этого нет. Их политика конфиденциальности — если она вообще есть — часто написана так, что разрешает собирать всё. Вот прямо всё. Я как-то ради интереса прочитал privacy policy одного популярного бесплатного VPN из Google Play. Там чёрным по белому было написано, что сервис собирает: IP-адрес, тип устройства, версию ОС, временные метки подключений, объём переданных данных и — внимание — «информацию о посещённых веб-ресурсах для улучшения качества обслуживания».
То есть они логируют вашу историю посещений. И прямо об этом говорят. Просто никто не читает.
Отдельная история — юрисдикция. Огромное количество бесплатных VPN зарегистрировано в Гонконге и материковом Китае. В 2020 году исследование Top10VPN показало, что как минимум 10 из самых скачиваемых бесплатных VPN-приложений принадлежат китайским компаниям. С учётом местного законодательства о кибербезопасности, данные этих сервисов доступны государственным органам по запросу. Без какого-либо судебного ордера в привычном понимании.
Скорость, лимиты и ещё один подвох
Ладно, допустим, вы осознаёте риски, но вам нужно «просто сайт открыть, один раз». Тут тоже есть нюанс.
Бесплатные VPN почти всегда режут скорость. Иногда до 3–5 Мбит/с при вашем канале в 100. Ставят лимит трафика — 500 МБ в месяц, гигабайт, если повезёт. Серверов мало, они перегружены, пинг скачет. Стриминг не работает, торренты заблокированы, половина сайтов определяет VPN и не пускает.
Но это цветочки. Ягодка в том, что многие бесплатные VPN целенаправленно ухудшают бесплатную версию, чтобы продать платную. Это ещё более-менее честная модель — freemium. Хуже, когда деградация сервиса маскирует другие вещи: пока вы ждёте загрузку страницы, приложение в фоне спокойно отправляет ваши данные на свои серверы. Трафик-то уже идёт через них, кто разберёт, что именно передаётся?
Что делать вместо этого
Я не говорю, что нужно обязательно платить $10–15 в месяц за топовый VPN-сервис. Есть промежуточные варианты. Есть проверенные сервисы с нормальными тарифами — Duck Proxy, например, даёт прозрачные условия без скрытой монетизации ваших данных. Есть self-hosted решения, если вы технически подкованы: поднять WireGuard на VPS за 3–5 евро — дело одного вечера.
Главное — не питать иллюзий. Бесплатный VPN не может быть бесплатным. Кто-то платит за серверы, за трафик, за разработку. Если не вы — значит, кто-то платит вами.
По моему опыту, лучший подход — задать себе один вопрос: «Что именно я хочу защитить?» Если ответ — «да мне просто инстаграм открыть», может, хватит нормального прокси. Если речь про реальную приватность, рабочие данные, чувствительную переписку — экономить на этом примерно как экономить на замке входной двери. Можно поставить защёлку за 200 рублей. Она даже будет закрываться. Вот только от кого?