Fexyn
Fexyn
All posts

Бесплатные VPN: как они реально зарабатывают

Fexyn Team··5 min read

Если VPN бесплатный без paywall, без signup-wall, без премиум-уровня — значит кто-то платит. Этот «кто-то» — не компания, предоставляющая сервис ради удовольствия. Юнит-экономика запуска VPN — не нулевая: трафик стоит денег, аптайм серверов стоит денег, поддержка стоит денег, security-аудиты стоят денег. Бесплатный продукт обязан где-то эти расходы вернуть.

Вот где, с задокументированными примерами.

Продажа данных о браузинге

Самая частая бизнес-модель. VPN логирует, что пользователи браузят, и продаёт данные ad-сетям, фирмам по market research, кому угодно, кто платит.

Onavo. Facebook купил Onavo в 2013-м, маркетинговал как бесплатный VPN под слоганом «Keep your data safe». Onavo тихо отправлял детальную traffic-аналитику обратно в Facebook, который использовал данные для идентификации растущих конкурентов (наиболее известно — WhatsApp до покупки, и TikTok во время раннего роста). Apple выкинул Onavo из App Store в 2018-м за нарушение правил сбора данных. Facebook в итоге его закрыл. Паттерн не уникален для Onavo, просто хорошо задокументирован.

Hola VPN. Hola продавала полосу пользователей как residential proxy network через сестринскую компанию Luminati (теперь Bright Data). Клиенты Luminati — включая в разные моменты скрейперов, операторов ad-фрода и как минимум одного оператора ботнета — платили Bright Data, чтобы маршрутизировать свой трафик через IP-адреса пользователей Hola. В 2015-м security-исследователи использовали сеть Hola для запуска DDoS на 8chan со скомпрометированных IP. Ответ Hola был, что это работает как задумано.

Betternet. Исследование CSIRO 2016 года проанализировало 283 Android-VPN-приложения и нашло, что Betternet идёт с 14 разными tracking-библиотеками — больше, чем у любого другого протестированного бесплатного VPN. То же исследование нашло, что 38% бесплатных Android-VPN содержат малварь или malvertising.

Паттерн: когда цена ноль, клиент — это продукт, и «клиент» означает data exhaust, который VPN может собрать о тебе.

Инжект рекламы

Бесплатный VPN — это сетевой middlebox. Он видит каждый HTTP-запрос, который ты делаешь, и исторически (до того, как HTTPS стал универсальным) мог переписывать ответы на лету для инжекта рекламы.

HotSpot Shield был пойман в 2017-м на инжекте рекламы и redirect tracking в HTTP-трафик. Center for Democracy and Technology подал жалобу в FTC. AnchorFree уладил.

Это сложнее теперь, когда большая часть веба — HTTPS, но у бесплатных VPN-приложений на мобилках есть workaround: они устанавливают свой собственный root certificate во время setup, и тогда могут инспектировать и модифицировать HTTPS-трафик. Несколько бесплатных Android-VPN это делают. Дать root-сертификат приложению, которому ты не до конца доверяешь — примерно эквивалентно тому, чтобы позволить им стоять между тобой и каждым сайтом, который ты посещаешь, с ключами от всего.

Продажа твоего IP как residential proxy

Ближе к модели Hola, но более свежая. Бесплатный VPN записывает тебя как ноду в свой коммерческий residential-proxy продукт. Твою полосу сдают в аренду другим людям, и твой IP появляется в скрейпинговом трафике, ad-фрод-кампаниях и иногда в чём-то похуже. Ты этого не видишь — твой ноут просто чуть теплее работает и потребляет немного полосы в фоне.

Bright Data, Oxylabs, IPRoyal и другие открыто ведут эту бизнес-модель. Они получают свои residential IP от «consumer apps that pay users for spare bandwidth» — часто это переименованные VPN-приложения. Конечный пользователь подписывает EULA, который это упоминает, технически.

Если используешь бесплатный VPN и вдруг не можешь зайти на какие-то сайты, потому что они заблокировали IP за абьюз — вот почему.

Рекрутинг в ботнет

Худший случай. Несколько бесплатных VPN-приложений были пойманы на тихом включении клиентских устройств в ботнеты, занимающиеся credential stuffing, click-фрод или DDoS. Случай Hola выше — каноничный пример, но мелкие случаи продолжают появляться.

В 2024-м security-исследователь проанализировал несколько Android-VPN-приложений с 10M+ скачиваний и нашёл code paths, которые при определённых условиях ретранслировали трафик третьих сторон с устройства. Пользователь не знает, что его телефон ненадолго работает как proxy-нода.

Троттлинг и лимиты полосы, которые толкают на платный апгрейд

Наименее вредная версия бесплатной экономики. VPN настоящий, сервис работает, но они агрессивно ограничивают полосу, выбор серверов и доступ к фичам, чтобы толкнуть тебя на апгрейд. Часто «бесплатная» версия отроттлена до неюзабельного состояния.

По стандартам бесплатных VPN это честно. Ты не продукт, тебя просто апсейлят.

Как понять

Несколько быстрых проверок перед установкой бесплатного VPN:

  • В приложении есть реклама? Если да — ты знаешь, как оно зарабатывает. Реклама в privacy-приложении — противоречие.
  • Требует разрешений, которые VPN не нужны? Камера, контакты, SMS — ничего из этого не нужно для запуска VPN. Это нужно для сбора данных.
  • Устанавливает root-сертификат? Почти наверняка инспектирует твой HTTPS.
  • Компания идентифицируема? Поищи паблишера. Многие бесплатные VPN-приложения управляются нераскрытыми компаниями в юрисдикциях, которые не требуют регистрации компании. Это не случайно.
  • Использует один из больших коммерческих SDK для аренды полосы? Static analysis или jadx-decoded APK раскрывают это. SDK Bright Data идентифицируется; и нескольких других тоже.

Что делать вместо

Заплатить за VPN. Стоимость — ~$3–10/мес у легитимных. Это меньше одного кофе. VPN, за который платишь ты, не нуждается в монетизации твоих данных, твоей полосы или твоего IP.

У Fexyn 7-дневный бесплатный триал — карта не нужна заранее, нет автоконверсии до конца триала. После триала самый дешёвый план — $5.99/мес в США (значительно меньше в региональных тарифах для стран с меньшим доходом). Математика та же, что и со всем остальным: платный продукт, нет surveillance funding model.

Связанное чтение

Попробуй Fexyn бесплатно 7 дней — честная версия бесплатного.

Бесплатные VPN: как они реально зарабатывают | Fexyn VPN