Dlaczego VPN nie powinien wymagac Twojego e-maila

W sercu wiekszosci produktow VPN tkwi cicha sprzecznosc. Rejestrujesz sie, by ukryc swoj adres IP przed stronami i sieciami, z ktorych korzystasz. Zanim zdolasz to zrobic, dostawca prosi o Twoj e-mail. Potem o nazwisko z karty. Potem o adres rozliczeniowy. Twoja rejestracja odbywa sie z domowego IP, wiec maja i to. Zanim aplikacja skonczy sie instalowac, firma, ktorej placisz za ochrone Twojej prywatnosci, wie o Tobie wiecej niz wiekszosc stron, przed ktorymi probowales pozostac prywatny.

Anonimowy VPN— taki, ktory naprawde nie wie, kim jestes — powinien byc modelem domyslnym, a nie rzadkim wyjatkiem. Ten tekst jest o tym, dlaczego ta sprzecznosc istnieje, jak wygladaja realistyczne alternatywy i jak subskrypcja przez App Store na iPhonie po cichu rozwiazuje problem, ktory branza obchodzi od pietnastu lat.

Sprzecznosc u drzwi wejsciowych

Polityka braku logow ruchu to sztandarowa funkcja wiekszosci VPN-ow nastawionych na prywatnosc. Oznacza, ze dostawca nie trzyma zapisow tego, ktore strony odwiedziles, co pobrales ani z ktorymi adresami IP sie laczyles. To wlasnie obietnica.

To, co ta obietnica czesto pomija, to druga baza danych — ta z Twoim kontem. Twoj e-mail, Twoje nazwisko z zapisanej karty, IP, z ktorego sie zarejestrowales, IP, z ktorego sie logujesz, Twoje zgloszenia do pomocy technicznej, Twoja historia odnowien. Nic z tego nie jest „ruchem”. Wszystko to jest tozsamoscia. I niemal kazdy VPN, jaki potrafisz wymienic, to trzyma.

Wiec pytanie nie brzmi tak naprawde „czy ten VPN loguje moj ruch”. Pytanie brzmi „co ten VPN wie o mnie, koniec kropka”. Strona ruchu i strona konta to dwa rozne problemy, a niemal kazda rozmowa o prywatnosci VPN obejmuje tylko ten pierwszy.

Modele kont, ktore spotkasz w branzy VPN

Cofnij sie o krok, a okaze sie, ze tak naprawde istnieje tylko garstka wzorcow. Warto nazwac kazdy z nich, zebys mogl rozpoznac, ktorego uzywa dany dostawca.

E-mail i haslo

Klasyczna rejestracja SaaS. Podajesz e-mail, ustawiasz haslo, potwierdzasz przez link. Dostawca ma teraz Twoj staly identyfikator oraz zapis tego, kiedy i skad sie zarejestrowales. To dominujacy model i — z duzym zapasem — najbardziej narazony.

E-mail plus procesor platnosci

Jak wyzej, z dodana karta zapisana przez Stripe lub podobny serwis. Procesor obsluguje dane karty, ale VPN nadal ma Twoj e-mail, Twoje nazwisko z karty i zapis rozliczeniowy. Zwroty i odnowienia wymagaja, by e-mail istnial.

Magiczny link lub kod jednorazowy

Reklamowane jako „bez hasla”, a czasem jako „przyjazne prywatnosci”. W zadnym istotnym dla prywatnosci sensie takie nie jest. Dostawca nadal ma Twoj e-mail; po prostu nie prosi, bys zapamietal do niego haslo.

Subskrypcja App Store przez Twoje Apple ID

To model, ktoremu wiekszosc uzytkownikow iPhone'a nigdy nie przyglada sie z bliska. Stukasz w subskrybuj, potwierdzasz Face ID, a transakcja przechodzi przez Apple. Deweloper nie widzi Twojego e-maila, karty ani nazwiska. Dostaje podpisany paragon od Apple potwierdzajacy, ze subskrypcja jest aktywna. Jeszcze do tego wrocimy.

Kryptowaluta bez konta

Opcja maksymalistyczna. Placisz w Monero lub podobnej walucie, dostajesz token lub poswiadczenie, nigdy nie dajesz dostawcy niczego. W zasadzie naprawde anonimowa, ale operacyjnie uciazliwa — tracisz latwe odnowienie, latwy zwrot, latwe przeniesienie na inne urzadzenie i bierzesz na siebie ciezar samodzielnego zarzadzania poswiadczeniem. Dla wiekszosci uzytkownikow to nie jest realna opcja, nawet jesli zalezy im na efekcie.

Ryzyko kont VPN powiazanych z tozsamoscia

Latwo zbagatelizowac dane po stronie konta slowami „coz, maja moj e-mail, no i co z tego”. To „co z tego” staje sie konkretne dosc szybko.

Promien razenia wezwania sadowego i zadania prawnego

Polityka braku logow po stronie ruchu jest naprawde przydatna, ale nie rozciaga sie na dane konta. Jesli sad nakaze dostawcy wydac to, co ma na temat danego e-maila lub tozsamosci rozliczeniowej, musi to spelnic. Dostawca nie moze powiedziec „nie trzymamy logow ruchu, wiec nic nie mamy” — musi wydac zapis konta, IP rejestracji, zgloszenia do pomocy technicznej i historie odnowien.

Sam ten zapis czesto wystarcza, by potwierdzic, ze konkretna osoba byla klientem w okreslonym oknie czasowym. W zaleznosci od jurysdykcji i zadania jest to znaczace ujawnienie nawet bez dolaczonych zadnych danych ruchu.

Narazenie na wyciek danych

Bazy danych kont wyciekaja. Wyciekaly u duzych dostawcow VPN, w menedzerach hasel i u wszystkich pomiedzy. Gdy baza CRM lub uwierzytelniania zostaje naruszona, wyciek nie ujawnia tylko Twojego e-maila — ujawnia fakt, ze Ty, pod tym e-mailem, byles klientem VPN-a. To nie jest nic. Dla niektorych uzytkownikow w niektorych miejscach to wlasnie ten jeden fakt jest czescia wrazliwa.

Krzyzowa korelacja miedzy wyciekami

Glebszy problem polega na tym, ze zaden wyciek nie zdarza sie w izolacji. Twoj e-mail konta VPN to takze Twoj e-mail zakupowy, e-mail z forow i prawdopodobnie e-mail powiazany z praca. Gdy wyciekna juz nieliczne bazy, ten sam e-mail zaczyna pojawiac sie we wszystkich, a z gruzow sklada sie profil. Najbardziej prywatna rzecza w koncie czesto jest po prostu jego brak.

Co do tego, co dostawcy naprawde maja na mysli, gdy mowia „bez logow”, zobacz nasz tekst o tym, co naprawde znaczy VPN bez logow, a dla szerszego obrazu tego, ktore deklaracje VPN wytrzymuja proba, przeczytaj nasz przewodnik po popularnych mitach o VPN.

Jak subskrypcje Apple ID oddzielaja tozsamosc od dewelopera

Model subskrypcji App Store jest strukturalnie bardzo rozny od modelu konta SaaS i warto zrozumiec, dlaczego to ma znaczenie dla anonimowego VPN-a.

Kiedy subskrybujesz aplikacje przez App Store, zawierasz transakcje z Apple, a nie z deweloperem. Apple trzyma Twoja metode platnosci, Twoje Apple ID, Twoj adres rozliczeniowy i Twoja historie subskrypcji. Deweloper — w tym przypadku dostawca VPN — siedzi po drugiej stronie tej sciany.

To, co deweloper faktycznie dostaje, gdy subskrybujesz, to podpisany paragon. Framework StoreKit firmy Apple przekazuje aplikacji kryptograficzny obiekt transakcji, a serwer dewelopera weryfikuje te transakcje wobec serwerow Apple. Weryfikacja wraca z jedna istotna informacja: tak, ta subskrypcja jest aktywna, i tak, nalezy do tego anonimowego identyfikatora. Bez e-maila. Bez nazwiska. Bez karty. Bez adresu.

Jesli anulujesz, anulujesz przez Apple. Jesli chcesz zwrotu, prosisz Apple. Jesli Twoja karta wygasa, aktualizujesz ja w ustawieniach Apple ID — deweloper nigdy nie widzi nowej, starej ani nawet tego, ze cokolwiek sie zmienilo. To samo dotyczy odnowien.

Dla uzytkownika wyglada to jak zwykly przebieg subskrypcji. Strukturalnie to czysty rozdzial: Apple obsluguje tozsamosc i pieniadze, deweloper obsluguje produkt. A poniewaz po stronie dewelopera nie ma formularza rejestracji, po stronie dewelopera nie ma bazy danych kont. To, co wyciekloby przy naruszeniu, w ogole nie istnieje, by wyciec.

To nie jest sztuczka prywatnosciowa. Tak dzialaja wszystkie subskrypcje App Store. Wiekszosc aplikacji, ktore z tego korzystaja, nie ma na ten temat zadnej historii o prywatnosci do opowiedzenia, bo proszą o Twoj e-mail osobno, wewnatrz aplikacji, by „zalozyc Twoje konto”. VPN nie musi tego robic, a wiekszosc i tak to robi z przyzwyczajenia.

Jak radzi sobie z tym Snap VPN

Snap jest zbudowany wokol zalozenia, ze przebieg App Store wystarcza. Przy pierwszym uruchomieniu nie ma formularza rejestracji. Nigdzie nie ma pola e-mail. Nie ma kroku „zaloz konto”, zanim zdolasz sie polaczyc.

Instalujesz aplikacje, stukasz w subskrybuj, potwierdzasz Face ID. Ze strony Snap przybywa zweryfikowany paragon i anonimowy identyfikator. Paragon mowi, ze masz subskrypcje. Identyfikator pozwala aplikacji zapamietac, ze na tym urzadzeniu masz subskrypcje. Zaden z nich nie zawiera Twojego e-maila, nazwiska ani informacji platniczych, bo serwery Snap ich nie otrzymuja — otrzymuje je Apple.

Po naszej stronie nie jest przechowywany zaden identyfikator uzytkownika powiazany z tozsamoscia w realnym swiecie. Zaufanie, ktore pokladasz w Snap, jest operacyjne (siec, serwery, protokol), a nie tym rodzajem zaufania „trzymamy Twoja tozsamosc, prosimy, zaufaj nam z nia”, ktore towarzyszy kazdemu kontu z e-mailem i haslem.

W praktyce: gdyby ktos poprosil Snap o „wszystkie dane, jakie macie o osobie pod tym adresem e-mail”, nie byloby zadnego zapisu do wydania, bo nie ma zadnego adresu e-mail w aktach. To nie jest deklaracja marketingowa, to konsekwencja niezbudowania formularza rejestracji.

Jesli chcesz pojsc dalej na samym urzadzeniu, nasza lista kontrolna prywatnosci iPhone'a obejmuje ustawienia, ktore warto wlaczyc obok anonimowego VPN-a.

Uczciwe ograniczenia

Byloby mylace zakonczyc wpis tutaj bez nazwania tego, czego ten model nie robi. Anonimowy VPN zbudowany na Apple ID to nie to samo, co VPN z zerowymi zaleznosciami zaufania.

Nadal ufasz Apple. Apple wie, ze zasubskrybowales. Jesli Ci na tym zalezy — jesli Twoj model zagrozen obejmuje samo Apple — to model subskrypcji App Store nie pasuje, a droga kryptowaluty bez konta jest jedyna uczciwa odpowiedzia. Dla wiekszosci uzytkownikow ten kompromis jest w porzadku: Apple to znana wielkosc, relacja juz istnieje, a dane sa zawarte wewnatrz ekosystemu, w ktorym i tak juz jestes.

Nadal ufasz dostawcy VPN, ze prowadzi siec uczciwie. Zaden model konta tego nie naprawia. Dostawca, ktory nie ma Twojego e-maila, wciaz moze zle skonfigurowac serwer, logowac polaczenia, ktorych jak twierdzil nie loguje, albo sprzedac dane zbiorcze, ktorych nie powinien. Model konta dotyczy ograniczenia tego, co naruszenie moze ujawnic, a nie usuniecia potrzeby zaufania operatorowi w ogole.

To, co zmienia, to rozmiar promienia razenia. Gdyby serwery Snap zostaly jutro naruszone, napastnik nie znalazlby zadnej listy e-maili, listy nazwisk, numerow kart, adresow rozliczeniowych ani archiwum zgloszen do pomocy technicznej powiazanego z prawdziwymi tozsamosciami. To, co zwykle wycieka przy naruszeniu VPN-a — baza danych kont — nie istnieje. Jest mniej do naruszenia, bo zebrano mniej.

O to chodzi. Anonimowy z zalozenia oznacza zaprojektowanie systemu tak, by wrazliwej rzeczy na poczatku tam nie bylo, a nie tak, by byla „chroniona” czy „szyfrowana w spoczynku” lub na ktorykolwiek z innych sposobow, ktore znacza „mamy ja, ale ostroznie”.

Podsumowanie

Sprzecznosc VPN-a, ktory prosi o Twoj e-mail, jest prawdziwa, a branza w wiekszosci ja obeszla, zamiast naprawic. Naprawa nie polega na nowej kryptografii ani nowym audycie bez logow; polega na niezbudowaniu bazy danych kont na poczatku. Model subskrypcji App Store czyni to mozliwym na iPhonie w sposob niewidoczny dla uzytkownika i strukturalnie czysty dla dewelopera. Tak wlasnie wyglada anonimowy VPN, gdy strone konta traktuje sie tak powaznie jak strone ruchu.

Jesli wybierasz VPN, a pierwsza rzecza, o ktora prosi, jest Twoj e-mail, to uczciwy sygnal co do tego, jak reszta produktu bedzie myslec o Twoich danych. Istnieja lepsze ustawienia domyslne.

Na koniec

Jesli VPN, ktory nie zna Twojego e-maila, brzmi jak wlasciwy domyslny wybor — bo nim jest — Snap jest tak zbudowany od pierwszego stuknięcia. Bez rejestracji. Bez formularza. Bez tozsamosci w aktach. Po prostu aplikacja, subskrypcja zakotwiczona w Twoim Apple ID i siec, z ktorej mozesz korzystac.