Fexyn
Fexyn
All posts

VPN endüstrisinin kirli sırları

Fexyn Team··9 min read

Tüketici VPN endüstrisi pazarlamasının düşündürdüğünden daha yoğunlaşmış, daha çıkar çatışmalı ve daha az şeffaf. Çoğu kullanıcı ödediği VPN'in kime ait olduğunu bilmiyor. Çoğu yorum gazetecilik gibi giyinmiş ticari ilişkiler. Çoğu "no-logs" iddiasının üçüncü taraf doğrulaması yok.

Bu yazı isim isim söylüyor. Fexyn'in bunun üstünde olduğunu iddia etmiyor; nerede durduğumuzu dürüst söylüyoruz. Önyargı açıklandı; belgelenmiş gerçekler bağımsız olarak doğrulanabilir.

Sahiplik konsolidasyonu

Tüketici VPN pazarının önemli bir kısmına iki kurumsal varlık sahip.

Kape Technologies (Londra borsasına kayıtlı, İngiltere merkezli). ExpressVPN, CyberGhost, Private Internet Access (PIA), ZenMate sahibi. ExpressVPN'i 2021'de 936 milyon dolara satın aldı.

Kape'nin tarihi önemli. Şirket önceden Crossrider olarak biliniyordu, adware ve malware-yakını ürünler içeren tarayıcı uzantıları geliştirmek için kullanılan bir araçtı. Crossrider 2018'de Kape Technologies'e rebrand oldu. Rebrand CyberGhost satın almasıyla eş zamanlı oldu; "Kape artık bir gizlilik şirketi" yerine "gizlilik kıyafetlerinde adware şirketi" pazarlama pozisyonu.

Kape sahipliği önemli çünkü:

  • Markalar (ExpressVPN, CyberGhost, PIA) bağımsız gizlilik-odaklı operasyonlar olarak pazarlanıyor
  • Gerçek kurumsal ana şirketin pazarlama pozisyonuyla çelişen bir tarihi var
  • Aynı şirket Webselenese'ye de sahip, vpnMentor ve Wizcase dahil büyük yorum sitelerini işletiyor
  • Kape'ye ait aynı yorum siteleri Kape'nin VPN'lerini yüksek sıralıyor. Çıkar çatışması belirgin şekilde açıklanmıyor.

ExpressVPN, CyberGhost veya PIA satın alan kullanıcılar hangi markaya ödese de Kape grubuna giriyor. Kurumsal-seviyesi veri uygulamaları markalar genelinde geçerli.

Nord Security (ve Tesonet ilişkisi). NordVPN'in ana şirketi. Kurumsal yapı tarihsel olarak Tesonet (Litvanya'daki bir IT hizmet şirketi) ve Nord markalarını içeriyor. NordVPN Panama-merkezli olarak pazarlanıyor; kurumsal ana şirket Litvanya-merkezli; operasyonel kararlar Vilnius'taki Nord Security'de duruyor.

Nord Security 2024'te Surfshark'ın ana şirketiyle (yine Tesonet-ilişkili) birleşmeyi açıkladı. İki marka ayrı işlemeye devam ediyor ama kurumsal olarak birleşmiş.

İmplikasyon: NordVPN ve Surfshark bağımsız rakipler değil. Aynı kurumsal ana şirketin kardeş markaları. Onları karşılaştıran yorumlar aynı şirketin iki ürününü karşılaştırıyor.

Affiliate-pazarlama endüstriyel kompleksi

Tüketici VPN affiliate programları yönlendirenlere komisyon olarak ilk yıl aboneliğinin %30-100'ünü ödüyor. 40 dolarlık yıllık NordVPN aboneliği alan bir kullanıcı, satışı sürükleyen affiliate linkinin sahibine 30-40 dolar komisyon üretiyor. 6-12 aylık lock-in süreleriyle müşteri başına ömür boyu komisyon önemli.

Bu spesifik bir pazar yapısı üretiyor:

"En iyi VPN" listicle'lar ücretli yerleştirme. Çoğu listicle'da en üst sıralanan VPN o listicle'ın trafiği için en yüksek affiliate komisyonu ödeyen. Kalite ödeme ile korelasyonlu, tersi değil. Aynı beş veya altı marka neredeyse her "en iyi VPN" listesinde görünüyor çünkü en yüksek affiliate bütçeleri var.

Editöryel dürüstlüğe sahip yorum siteleri nadir. Bağımsız VPN yorumları var (Privacy Guides, bazen Wirecutter, ara sıra güvenlik-odaklı yayınlar). "En iyi VPN" Google arama sonuçlarında baskın siteler ağırlıklı affiliate-sürücülü.

YouTube yorumcular ticari. Çoğu VPN-odaklı YouTube kanalı ücretli-promosyon-fonlu. Açıklanan sponsorluklar gerçek; söylenmeyen önyargı yorumcunun gelirinin ilişkinin devam etmesine bağlı olması.

Aynı listicle'lar yeniden yayınlanıyor. Bir "En İyi VPN 2026" makalesi ve bir başkasını okursan aynı ürünleri benzer sıralarda öneriyorlar. Anlatı paylaşılıyor çünkü finansal teşvikler paylaşılıyor.

Kullanıcı için çözüm doğrudan test. Çoğu saygın VPN'in sunduğu 30-günlük iade penceresi gerçek değerlendirme mekanizması. Pazarlama kopyası değil.

"No-logs" iddia denetim boşluğu

Çoğu VPN sağlayıcı "no logs" iddia ediyor. Az sayıda doğrulattırdı.

Olan denetimler:

ProtonVPN. No-logs kapsamı dahil çoklu Cure53 denetimi. Kamuya açık raporlar.

Mullvad. Cure53 ve Assured AB denetimleri. Kamuya açık raporlar. Endüstrideki en kapsamlılardan.

ExpressVPN. Birden fazla yıl üzerinden PricewaterhouseCoopers ve KPMG denetimleri. Raporlar kısıtlamalarla mevcut.

NordVPN. Birden fazla yıl üzerinden PricewaterhouseCoopers ve Deloitte denetimleri. Raporlar kamuya özetlendi.

Surfshark. Deloitte denetimi (2023). Kamuya açık özet.

TunnelBear. Cure53 (2017, 2020). Kamuya açık.

IVPN. Cure53 denetimleri. Kamuya açık.

VyprVPN. Leviathan Security (2018). Kamuya açık.

CyberGhost, PIA. Karışık şeffaflıkla çeşitli denetimler.

Yakın yayınlanmış no-logs denetimi olmayan sağlayıcılar: çoğu küçük ve yeni sağlayıcı. Fexyn bu grupta. Henüz üçüncü taraf denetimini tamamlamadık. 2026 için planlandı. O zamana kadar no-logs iddiası operasyonel ve belirtilmiş ama dış doğrulamalı değil.

Güveni için denetim doğrulamayı yük taşıyıcı olarak alan kullanıcılar için bu önemli. ProtonVPN ve Mullvad'ın en güçlü güncel denetlenmiş iddiaları var; spesifik olarak buna ihtiyacı olan kullanıcılar bizden çok onları düşünmeli.

"No-logs" implementasyonu önemli

Denetimlerin ötesinde, no-logs'un teknik implementasyonu değişiyor:

Operasyonel olarak no-logs. Sistemler tarama veya DNS sorgu logu tutmuyor çünkü konfigürasyon onları üretmiyor. ProtonVPN ve Mullvad bu şekilde çalışıyor; Fexyn bu şekilde çalışıyor.

Pazarlanan no-logs ama operasyonel metaveri ile. Sağlayıcı "no-logs" diyor ama sistemler celp edildiğinde spesifik bir kullanıcının oturumunu tanımlayabilecek bağlantı metaverisi tutuyor. No-logs tehdit modeli için daha az güvenli; pazarlama dili teknik olarak savunulabilir ama operasyonel gerçeklik daha zayıf.

Silme pipeline'ından geçen loglar. Operasyonel amaçlar için kısa süre log tutan, sonra silen sağlayıcılar. Logların var olduğu pencere celp maruz kalma süresi. Bu kategorideki bazı sağlayıcılar silme zamanlayıcısı yeterince kısaysa kendilerini "no-logs" olarak işaretliyor.

Denetimler bunları ayırmaya yardım ediyor. Denetim olmadan sadece sağlayıcının sözüne sahipsin.

Sunucu altyapısı sırları

VPN sağlayıcılar genelde sunucu sayılarını pazarlıyor: "60 ülkede 5,000+ sunucu!" Gerçek daha nüanslı.

Çoğu "sunucu" sanal makine. "5,000 sunucusu" olan bir sağlayıcının her biri 10 sanal sunucu çalıştıran 500 fiziksel makinesi olabilir. Her VM kendi IP'sini alıyor ve pazarlama amacıyla "sunucu" sayılıyor; altta yatan donanım paylaşımlı.

"X ülkesindeki bazı sunucular" fiziksel olarak Y ülkesinde. "İzlanda'da sunucusu" olan bir sağlayıcının fiziksel olarak Frankfurt'ta, yönlendirme üzerinden İzlandalı IP sunmak için konfigüre edilmiş bir sunucusu olabilir. Kullanıcının bağlantısı hala Frankfurt'ta sonlanır; sadece görünen IP İzlandalı. Sağlayıcı bunu küçük yazıda açıklayabilir veya açıklamayabilir.

Sunucu başına kapasite enorm değişiyor. 10Gbps ağlı bir 1U pizza-box bare-metal sunucu binlerce eş zamanlı kullanıcıya hizmet edebilir. 1Gbps ağlı bir sanal sunucu düzinelere hizmet eder. "5,000 sunucu" pazarlaması ayrım yapmıyor.

Daha küçük, şeffaf altyapılı sağlayıcılar genelde daha dürüst. Mullvad bare-metal-vs-kiralık kırılımını yayınlıyor. IVPN detaylı sunucu listeleri yayınlıyor. Fexyn şu an dört fiziksel sunucu işletiyor (Frankfurt, Helsinki, Kıbrıs, Ashburn) ve bunu açık söylüyoruz.

Bedava-VPN sorunu

Tüketici bedava VPN'lerinin neredeyse evrensel olarak veri-toplama sorunları var. Patern:

Hola VPN (2015 olayı). Kullanıcı bandwidth'ini botnet'ler için yerleşim proxy node'ları olarak satıyordu. Belgelenmiş ve kamuya bilinen.

Onavo Protect (Facebook, 2019). Facebook'un rekabet zekası için kullanıcı verisi toplayan bedava VPN. Açıklamadan sonra app store'lardan çekildi.

SuperVPN (birden fazla olay). 360 milyon kayıt açığa çıkaran veri sızıntısı. Gizlilik-politikası-vs-uygulama uyumsuzluğu.

Çeşitli daha küçük bedava VPN'ler. Veri satışları, malware, kullanıcı bandwidth'inin yerleşim-proxy kullanımı, reklam injection sıkça raporlanıyor.

İstisnalar:

ProtonVPN bedava tier. Operasyonel olarak meşru; ücretli kullanıcılar tarafından çapraz-sübvanse ediliyor.

Cloudflare WARP bedava tier. Cloudflare'in CDN işiyle paketli; gizlilik-odaklı VPN değil ama teknik olarak meşru.

Windscribe bedava tier. Sınırlı bandwidth; meşru operasyon.

Anti-sansür araçları (Lantern, Psiphon). Farklı kategori; ticari VPN değil non-profit anti-sansür.

Geri kalan için endüstri kuralı geçerli: ödemiyorsan ürün sensin. Veri toplamayla gelir elde eden bedava tüketici VPN uygulamaları esasen bedava-VPN alanının tüm ekonomik modeli.

Fexyn dürüstçe nerede duruyor

Küçük bir şirketiz. Dört fiziksel sunucu işletiyoruz. Wyoming, ABD merkezliyiz (Five Eyes). Henüz bağımsız no-logs denetimi tamamlamadık.

Sunduğumuz:

  • VLESS Reality + Vision flow (xtls-rprx-vision): bizim, Astrill ve az sayıda başkasının gönderdiği protokol. Çoğu büyük marka göndermiyor. Bu teknik farklılaştırıcı.
  • WFP-tabanlı kernel kill switch — Fexyn, Mullvad, ProtonVPN, IVPN bu grupta; çoğu büyük markanın leak penceresi olan uygulama-seviyesi kill switch'leri var.
  • Crypto-only faturalandırma seçeneği — kart ödemenin bozuk olduğu veya minimum-iz hesapların önemli olduğu pazarlardaki kullanıcılar için faydalı.
  • Tier-tabanlı fiyatlandırma — Tier 1 ($9.99/ay) ile Tier 4 ($2.99/ay) bölgeye göre. Bölgesel satın alma gücü konusunda dürüst.
  • 5-dilli UI — EN, RU, TR, AR, pt-BR. İspanyolca sonraki sprint için işaretlendi.
  • Hukuki bağlamlı dürüst ülke sayfaları — ABD, AB, Rusya, Çin, İran, Pakistan, BAE dahil.

Sunmadığımız:

  • Henüz bağımsız no-logs denetimi. 2026 için planlandı.
  • NordVPN'in "5,000 sunucusu"yla karşılaştırılabilir sunucu-sayısı pazarlaması. Dört tane var. Söylüyoruz.
  • Pazarlama iddialı tescilli hızlı protokol. Bolt sadece WireGuard; Stealth sadece VLESS Reality + Vision flow. Standart protokoller, sade isimlendirme.
  • Listicle sıralamasını manipüle etmek için tasarlanmış affiliate program. Büyük affiliate listicle'larında değiliz çünkü orada olmak için komisyon ödemiyoruz. Bu bir konumlandırma seçimi; maliyeti daha yavaş marka büyümesi.

Affiliate-listicle-baskın markalar yerine daha küçük, daha teknik şeffaf sağlayıcı tercih eden kullanıcılar için: Fexyn uygun. Bugün denetlenmiş no-logs iddiası gerektiren kullanıcılar için: ProtonVPN veya Mullvad. Açık söylüyoruz.

VPN'de gerçekten aranacak

Pazarlama katmanından sağ çıkan çerçeve:

  1. Denetlenmiş no-logs. Veya en azından kamuya açıklanmış mimarili güvenilir operasyonel iddia.
  2. Açık-kaynak istemciler. İstemcinin gerçekten ne yaptığını doğrulamak daha kolay.
  3. Kernel-seviyesi kill switch. Uygulama-seviyesinden daha az leak riski.
  4. Modern protokoller. Minimum WireGuard; sansür-direnç kullanım durumları için Reality.
  5. Makul yargı yetkisi. Mükemmel değil. No-logs doğrulamasından az önemli.
  6. Crypto ödeme seçeneği. İz-minimizasyonu için faydalı.
  7. Dürüst altyapı açıklaması. Bare metal vs kiralık; fiziksel-vs-sanal sunucu sayıları.
  8. Fiyatlandırma şeffaflığı. Otomatik yenileme uygulamaları ve iade politikaları dahil.

Bu kontrol listesini herhangi bir VPN'e — Fexyn dahil — uygula. Çoğunda iyi puan alıyoruz, denetimde zayıf ve söylüyoruz.

Sıkça sorulanlar

VPN'ime gerçekten kim sahip?

Gizlilik politikasındaki kayıtlı şirkete bak. Ana şirkete bak. "ExpressVPN"den aldığın VPN artık Kape Technologies. "NordVPN"den aldığın Nord Security / Tesonet'in parçası.

VPN yorumlarına güvenilir mi?

Nadir istisnalarla neredeyse evrensel olarak hayır. Privacy Guides, EFF rehberi, ara sıra güvenlik-odaklı yayınlar. "En iyi VPN" SERP'inde baskın siteler ticari ilişkiler, gazetecilik değil.

Neden her "en iyi VPN" listesi aynı markaları içeriyor?

Affiliate komisyonları. En yüksek komisyonu ödeyen markalar en çok listicle'da görünüyor. Ödemeyen markalar teknik olarak daha iyi ürün olsa bile görünmüyor.

Mullvad gerçekten NordVPN'den iyi mi?

Farklı ürünler. Mullvad: daha güçlü no-logs denetimi, tam açık-kaynak istemciler, İsveç yargı yetkisi, pazarlama affiliate programı yok, dinamik fiyatlandırma hileleri yok. NordVPN: daha büyük sunucu filosu, daha fazla streaming sunucu erişimi, daha agresif tüketici pazarlaması, Black Friday'de daha düşük fiyat. Hangisinin daha iyi olduğunu kullanım durumu belirler.

Denetim olmamasına rağmen Fexyn'e güvenmeli miyim?

Adil bir soru. Denetlenmiş sağlayıcıların (ProtonVPN, Mullvad) daha güçlü dış doğrulaması var. Ona doğru çalışıyoruz. O zamana kadar teklifimiz ne yaptığımızın dürüst açıklaması, açık-kaynak helper service kod tabanı ve güven modelinin "denetlenmiş iddia" yerine "şirketin kendisi" olduğu yeterince küçük operasyon.

Fexyn'i 7 gün ücretsiz dene — küçük operasyon, şeffaf fiyatlandırma, henüz sahip olmadığımız konusunda dürüst.

Son inceleme 2026-05-09. Endüstri kurumsal yapısı evriliyor; spesifikler yayından beri değişmiş olabilir.

VPN endüstrisinin kirli sırları | Fexyn VPN