Fexyn
Fexyn
All posts

Грязные секреты VPN-индустрии

Fexyn Team··9 min read

Потребительская VPN-индустрия концентрированнее, конфликтнее и менее прозрачна, чем подсказывает её маркетинг. Большинство пользователей не знают, кто владеет VPN, за который они платят. Большинство обзоров — коммерческие отношения, замаскированные под журналистику. У большинства заявлений «no-logs» нет верификации третьей стороной.

Этот текст называет имена. Не делает вид, что Fexyn вне игры; он честен про то, где мы сидим. Предвзятость раскрыта; задокументированные факты независимо проверяемы.

Концентрация владельцев

Две корпоративные структуры владеют существенной долей потребительского VPN-рынка.

Kape Technologies (листинг в Лондоне, штаб в Великобритании). Владеет ExpressVPN, CyberGhost, Private Internet Access (PIA), ZenMate. Купила ExpressVPN в 2021 за $936 млн.

История Kape важна. Компания раньше называлась Crossrider — инструмент для разработки браузерных расширений, включавших adware и malware-смежные продукты. Crossrider переименовался в Kape Technologies в 2018. Ребрендинг совпал с покупкой CyberGhost; импликация «теперь это privacy-компания», а не «adware-компания в одёжке privacy» — маркетинговая позиция.

Владение Kape важно, потому что:

  • Бренды (ExpressVPN, CyberGhost, PIA) маркетируют себя как независимые privacy-фокусные операции
  • У реального корпоративного родителя — история, противоречащая маркетинговому позиционированию
  • Та же компания владеет Webselenese, операатором крупных обзорных сайтов, включая vpnMentor и Wizcase
  • Те самые обзорные сайты, которыми владеет Kape, ставят VPN от Kape высоко. Конфликт не раскрыт явно.

Пользователи, покупающие ExpressVPN, CyberGhost или PIA, покупают вход в группу Kape, какой бы бренд они ни оплатили. Корпоративные практики работы с данными применяются ко всем брендам.

Nord Security (и связь с Tesonet). Родитель NordVPN. Корпоративная структура исторически вовлекала Tesonet (IT-сервисную компанию в Литве) и бренды Nord. NordVPN маркетируется как Panama-based; корпоративный родитель — литовский; операционные решения — у Nord Security в Вильнюсе.

В 2024 Nord Security объявил слияние с родителем Surfshark (тоже связанным с Tesonet). Бренды продолжают работать раздельно, но корпоративно объединены.

Импликация: NordVPN и Surfshark — не независимые конкуренты. Это сестринские бренды одного корпоративного родителя. Обзоры, сравнивающие их, сравнивают два продукта одной компании.

Промышленный комплекс аффилиат-маркетинга

Аффилиатные программы потребительских VPN платят 30–100% от подписки первого года как комиссию рефереру. Пользователь, покупающий $40/год NordVPN, генерирует $30–40 комиссии тому, чья ссылка привела продажу. На 6–12 месячных lock-in периодах пожизненная комиссия с клиента — существенная.

Это создаёт специфическую структуру рынка:

Подборки «лучших VPN» — оплаченное размещение. VPN на верхней позиции в большинстве подборок — тот, кто платит самую высокую аффилиатную комиссию за трафик этой подборки. Качество коррелирует с оплатой, а не наоборот. Те же пять-шесть брендов появляются почти в каждом списке «лучший VPN», потому что у них самые большие аффилиатные бюджеты.

Обзорные сайты с редакторской целостностью — редкость. Независимые VPN-обзоры есть (Privacy Guides, Wirecutter иногда, security-фокусные публикации иногда). Сайты, доминирующие в Google по «лучший VPN» — преимущественно аффилиат-driven.

YouTube-обзорщики коммерчески мотивированы. Большинство VPN-фокусных YouTube-каналов работает на оплаченное продвижение. Раскрытое спонсорство реально; нераскрытая предвзятость — это то, что доход обзорщика зависит от продолжения отношений.

Те же подборки переизданиются. Если ты прочитаешь одну статью «Best VPN 2026» и другую — они рекомендуют те же продукты в похожих позициях. Нарратив общий, потому что финансовые стимулы общие.

Решение для пользователя — прямое тестирование. Окна возврата 30 дней, которые предлагают большинство приличных VPN — это и есть реальный механизм оценки. Маркетинг — нет.

Зияющая дыра в аудитах «no-logs»

Большинство VPN-провайдеров заявляют «no logs». У немногих это верифицировано.

Аудиты, которые случались:

ProtonVPN. Несколько аудитов Cure53, включая no-logs. Публичные отчёты.

Mullvad. Аудиты Cure53 и Assured AB. Публичные отчёты. Среди самых тщательных в индустрии.

ExpressVPN. Аудиты PricewaterhouseCoopers и KPMG за несколько лет. Отчёты доступны с ограничениями.

NordVPN. Аудиты PricewaterhouseCoopers и Deloitte за несколько лет. Резюме отчётов публично.

Surfshark. Аудит Deloitte (2023). Публичное резюме.

TunnelBear. Cure53 (2017, 2020). Публично.

IVPN. Аудиты Cure53. Публично.

VyprVPN. Leviathan Security (2018). Публично.

CyberGhost, PIA. Разные аудиты с разной степенью прозрачности.

Провайдеры без свежих публичных no-logs аудитов: большинство мелких и новых. Fexyn — в этой группе. Сторонний аудит ещё не сделан. Запланирован на 2026. До этого момента заявление no-logs — операционное и сформулированное, но не проверенное извне.

Для пользователей, для которых верификация аудитом — несущая для доверия, это важно. У ProtonVPN и Mullvad самые сильные аудированные заявления; пользователям, которым именно это нужно, стоит рассмотреть их вместо нас.

Реализация «no-logs» имеет значение

Помимо аудитов, техническая реализация no-logs варьируется:

Операционно no-logs. Системы не хранят логи браузинга или DNS-запросов, потому что конфигурация их не генерирует. ProtonVPN и Mullvad работают так; Fexyn работает так.

Маркетируется как no-logs, но с операционной метаданой. Провайдер говорит «no-logs», но системы хранят connection metadata, по которым можно идентифицировать сессию пользователя по повестке. Менее безопасно для no-logs threat model; маркетинговый язык технически защитим, но операционная реальность слабее.

Логи через пайплайн удаления. Провайдеры, которые хранят логи коротко для операционных целей, потом удаляют. Окно, в котором логи существуют — окно уязвимости перед повесткой. Некоторые в этой категории помечают себя как «no-logs», если таймер удаления достаточно короткий.

Аудиты помогают это различать. Без аудита у тебя только слово провайдера.

Секреты серверной инфраструктуры

VPN-провайдеры обычно маркетят счёт серверов: «5,000+ серверов в 60 странах!» Реальность нюанснее.

Многие «серверы» — виртуальные машины. У провайдера с «5,000 серверами» может быть 500 физических машин, на каждой по 10 виртуалок. Каждая VM получает свой IP и считается «сервером» для маркетинга; железо — общее.

Некоторые «серверы в стране X» физически в стране Y. Провайдер с «серверами в Исландии» может физически держать сервер во Франкфурте, настроенный отдавать исландский IP через маршрутизацию. Соединение пользователя всё равно завершается во Франкфурте; только видимый IP — исландский. Провайдер может раскрыть это в мелком шрифте — или нет.

Ёмкость на сервер варьируется чудовищно. 1U pizza-box bare-metal сервер с 10 Гбит/с может обслуживать тысячи одновременных пользователей. Виртуалка с 1 Гбит/с — десятки. Маркетинг «5,000 серверов» не различает.

Провайдеры с меньшей, прозрачной инфраструктурой обычно честнее. Mullvad публикует разбивку bare-metal vs аренда. IVPN публикует детальные списки серверов. Fexyn сейчас держит четыре физических сервера (Франкфурт, Хельсинки, Кипр, Ashburn) — и мы это говорим прямо.

Проблема бесплатных VPN

У бесплатных потребительских VPN почти всегда проблемы со сбором данных. Паттерн:

Hola VPN (инцидент 2015). Продажа bandwidth пользователей как нодов residential proxy для ботнетов. Задокументировано и публично известно.

Onavo Protect (Facebook, 2019). Бесплатный VPN, собиравший данные пользователей для конкурентной разведки Facebook. Удалён из app stores после раскрытия.

SuperVPN (несколько инцидентов). Утечка данных, обнажившая 360 млн записей. Несоответствие политики приватности и практики.

Разные мелкие бесплатные VPN. Частые отчёты о продаже данных, malware, residential-proxy использовании bandwidth, инжекте рекламы.

Исключения:

Бесплатный тариф ProtonVPN. Операционно легитимен; кросс-субсидируется платными.

Бесплатный тариф Cloudflare WARP. Бандл с CDN-бизнесом Cloudflare; не privacy-фокусный VPN, но технически легитимный.

Бесплатный тариф Windscribe. Ограниченный bandwidth; легитимные операции.

Анти-цензурные инструменты (Lantern, Psiphon). Другая категория; некоммерческая анти-цензура, а не коммерческий VPN.

Для остального применяется правило индустрии: если ты не платишь — ты продукт. Бесплатные потребительские VPN-приложения, монетизирующиеся через сбор данных — по сути вся экономическая модель пространства бесплатных VPN.

Где честно сидит Fexyn

Мы — мелкая компания. Держим четыре физических сервера. Базируемся в Wyoming, США (Five Eyes). Сторонний no-logs аудит ещё не закончен.

Что мы предлагаем:

  • VLESS Reality с Vision flow (xtls-rprx-vision): протокол, который везём мы, Astrill и небольшое число других. Большинство крупных брендов — нет. Это технический дифференциатор.
  • WFP-based kernel kill switch — Fexyn, Mullvad, ProtonVPN, IVPN в этой группе; у большинства крупных брендов application-level kill switch с окнами утечек.
  • Оплата только криптой как опция — полезно в рынках, где оплата картой сломана или где минимальный отпечаток аккаунта важен.
  • Tier-based ценообразование — Tier 1 ($9.99/мес) до Tier 4 ($2.99/мес) по региону. Честно про региональную покупательную способность.
  • 5-язычный UI — EN, RU, TR, AR, pt-BR. Spanish помечен как следующий спринт.
  • Честные страновые страницы с правовым контекстом — включая США, ЕС, Россию, Китай, Иран, Пакистан, ОАЭ.

Чего у нас нет:

  • Независимый no-logs аудит. Запланирован на 2026.
  • Маркетинг счёта серверов уровня «5,000 серверов» NordVPN. У нас четыре. Мы это говорим.
  • Проприетарный быстрый протокол с маркетинговыми заявлениями. Bolt — это просто WireGuard; Stealth — это просто VLESS Reality с Vision flow. Стандартные протоколы, простые названия.
  • Аффилиатная программа, заточенная под игру в подборки. Нас нет в крупных аффилиатных подборках, потому что мы не платим комиссии за это место. Это позиционный выбор; цена — медленный рост бренда.

Для пользователей, кто предпочитает мелкого, технически прозрачного провайдера аффилиат-доминантным брендам: Fexyn подходит. Кому нужен аудированный no-logs сегодня: ProtonVPN или Mullvad. Мы это говорим открыто.

Что реально искать в VPN

Фреймворк, выживающий маркетинговый слой:

  1. Аудированный no-logs. Или хотя бы достоверное операционное заявление с публично объяснённой архитектурой.
  2. Open-source клиенты. Проще проверить, что клиент реально делает.
  3. Kernel-level kill switch. Меньше риск утечки, чем application-level.
  4. Современные протоколы. WireGuard как минимум; Reality для сценариев цензуры.
  5. Разумная юрисдикция. Не идеально. Менее важно, чем верификация no-logs.
  6. Опция оплаты криптой. Полезно для минимизации следа.
  7. Честное раскрытие инфраструктуры. Bare metal vs аренда; физические vs виртуальные счёт.
  8. Прозрачность цен. Включая практики автопродления и политики возврата.

Применяй этот чек-лист к любому VPN — включая Fexyn. Мы хорошо набираем по большинству, слабо — по аудиту, и мы это говорим.

Часто спрашивают

Кто реально владеет моим VPN?

Посмотри company-of-record в политике приватности. Посмотри родительскую компанию. VPN, который ты купил у «ExpressVPN», теперь Kape Technologies. «NordVPN», который ты купил — часть Nord Security / Tesonet.

Можно ли доверять обзорам VPN?

Почти всегда нет, с редкими исключениями. Privacy Guides, гайды EFF, security-фокусные публикации иногда. Сайты, доминирующие в SERP «best VPN» — коммерческие отношения, не журналистика.

Почему в каждой подборке «best VPN» одни и те же бренды?

Аффилиатные комиссии. Бренды с самыми высокими комиссиями появляются в большинстве подборок. Бренды, не платящие, не появляются — даже если они технически лучшие продукты.

Mullvad реально лучше NordVPN?

Разные продукты. Mullvad: сильнее no-logs аудит, полностью open-source клиенты, юрисдикция Швеция, нет аффилиатной программы, нет трюков с динамическим ценообразованием. NordVPN: больше серверный флот, больше streaming-серверов, агрессивнее маркетинг, ниже цена в Black Friday. Use case определяет, что лучше.

Стоит ли доверять Fexyn без аудита?

Это честный вопрос. Аудированные провайдеры (ProtonVPN, Mullvad) имеют сильнее внешнюю верификацию. Мы движемся в эту сторону. Пока этого нет — наше предложение это честное раскрытие того, что мы делаем, open-source кодовая база helper-сервиса, и достаточно мелкая операция, чтобы trust model был «компания сама», а не «аудированное заявление».

Попробуй Fexyn бесплатно 7 дней — мелкая операция, прозрачное ценообразование, честно про то, чего у нас пока нет. Как выбрать VPN — про buying-фреймворк.

Последняя проверка 2026-05-09. Корпоративная структура индустрии эволюционирует; конкретика могла измениться с момента публикации.

Грязные секреты VPN-индустрии | Fexyn VPN