Зачем VPN требует email — и почему не должен

В основе большинства VPN-продуктов скрыто тихое противоречие. Вы подключаетесь, чтобы скрыть свой IP-адрес от сайтов и сетей, которыми пользуетесь. Но прежде чем это сделать, провайдер просит ваш email. Затем имя с карты. Затем платёжный адрес. Регистрация происходит с домашнего IP — значит, он тоже у него есть. К тому времени, как приложение заканчивает установку, компания, которой вы платите за защиту конфиденциальности, знает о вас больше, чем большинство сайтов, от которых вы пытались скрыться.

Анонимный VPN — тот, который действительно не знает, кто вы, — должен быть стандартной моделью, а не редким исключением. Эта статья о том, почему такое противоречие существует, как выглядят реалистичные альтернативы и почему подписка через App Store на iPhone тихо решает проблему, с которой индустрия борется уже пятнадцать лет.

Противоречие у входной двери

Политика «без логов трафика» — главная функция большинства VPN, ориентированных на приватность. Это означает, что провайдер не хранит записи о том, какие сайты вы посещали, что скачивали или к каким IP-адресам подключались. Таково обещание.

Что это обещание часто упускает — так это вторую базу данных: ту, в которой хранится ваш аккаунт. Ваш email, имя с карты, IP-адрес при регистрации, IP-адрес при входе, тикеты в поддержку, история продлений. Всё это не «трафик». Всё это — личность. И почти каждый VPN, который вы можете назвать, хранит её.

Поэтому вопрос не в том, «логирует ли этот VPN мой трафик». Вопрос в том, «что этот VPN знает обо мне вообще». Трафик и аккаунт — две разные проблемы, а почти все разговоры о конфиденциальности VPN касаются только первой.

Модели аккаунтов в индустрии VPN

Если смотреть шире, вариантов не так много. Стоит назвать каждый, чтобы вы могли распознать, какую модель использует тот или иной провайдер.

Email и пароль

Классическая SaaS-регистрация. Вы даёте email, придумываете пароль, подтверждаете по ссылке. Провайдер получает постоянный идентификатор и запись о том, когда и откуда вы зарегистрировались. Это доминирующая модель, и она, с большим отрывом, наиболее уязвима.

Email плюс платёжная система

То же самое, но с картой, привязанной через Stripe или аналог. Процессор обрабатывает данные карты, однако VPN всё равно хранит ваш email, имя с карты и историю платежей. Для возвратов и продлений email должен существовать.

Магическая ссылка или одноразовый код

Позиционируется как «без пароля», иногда — как «дружественный к приватности». В каком-либо значимом смысле это не так. Провайдер по-прежнему хранит ваш email; просто не просит запоминать пароль.

Подписка через App Store с Apple ID

Это модель, на которую большинство пользователей iPhone никогда не обращают пристального внимания. Вы нажимаете «Подписаться», подтверждаете через Face ID — и транзакция проходит через Apple. Разработчик не видит ваш email, карту или имя. Он получает подписанный чек от Apple, подтверждающий, что подписка активна. К этой модели мы ещё вернёмся.

Криптовалюта без аккаунта

Максималистский вариант. Платите в Monero или аналоге, получаете токен или учётные данные, не сообщая провайдеру ничего. В принципе — подлинная анонимность, но операционно болезненная: вы теряете удобное продление, возврат, перенос на другое устройство и берёте на себя бремя управления учётными данными. Для большинства пользователей это не реальный вариант, даже если цель их устраивает.

Риски аккаунтов, привязанных к личности

Легко отмахнуться: «ну и что, у них есть мой email». «И что» становится конкретным довольно быстро.

Охват судебных запросов и повесток

Политика «без логов» трафика действительно полезна, но она не распространяется на данные аккаунта. Если суд обяжет провайдера предоставить всё, что есть по конкретному email или платёжной личности, провайдер обязан подчиниться. Он не может сказать «мы не ведём логи трафика, поэтому нам нечего передать» — он передаёт запись аккаунта, IP-адрес при регистрации, тикеты поддержки и историю продлений.

Одной этой записи часто достаточно, чтобы подтвердить: конкретный человек был клиентом в определённый период. В зависимости от юрисдикции и характера запроса — это значимое раскрытие даже без данных трафика.

Утечки баз данных

Базы данных аккаунтов утекают. Они утекали у крупных VPN-провайдеров, менеджеров паролей и многих других. Когда CRM или база аутентификации взломана, утечка раскрывает не просто ваш email — она раскрывает факт того, что именно вы, с этим email, являлись клиентом VPN. Это не мелочь. Для некоторых пользователей в некоторых странах один этот факт и есть чувствительная информация.

Перекрёстная корреляция при утечках

Более глубокая проблема состоит в том, что ни одна утечка не происходит в изоляции. Email вашего VPN-аккаунта — это также ваш email для покупок, форумов и, вероятно, рабочий email. Когда несколько баз данных утекают, один и тот же адрес начинает появляться во всех них, и профиль складывается сам собой из обломков. Самое приватное в аккаунте — зачастую его отсутствие.

Подробнее о том, что провайдеры реально имеют в виду под словами «без логов», читайте в нашей статье о том, что такое VPN без логов на самом деле, а о том, какие заявления VPN выдерживают проверку, — в нашем гиде по распространённым мифам о VPN.

Как подписка через Apple ID отделяет личность от разработчика

Модель подписки через App Store структурно сильно отличается от модели SaaS-аккаунта, и важно понять, почему это важно для анонимного VPN.

Когда вы подписываетесь на приложение через App Store, вы заключаете сделку с Apple, а не с разработчиком. Apple хранит ваш способ оплаты, ваш Apple ID, платёжный адрес и историю подписок. Разработчик — в данном случае VPN-провайдер — находится по другую сторону этой стены.

То, что разработчик реально получает при оформлении подписки, — это подписанный чек. Фреймворк StoreKit передаёт приложению криптографический объект транзакции, и сервер разработчика проверяет эту транзакцию через серверы Apple. Проверка возвращает одну значимую информацию: да, подписка активна, и да, она принадлежит этому анонимному идентификатору. Никакого email. Никакого имени. Никакой карты. Никакого адреса.

Если вы отменяете — отмена идёт через Apple. Если хотите возврат — просите у Apple. Если истёк срок карты — обновляете в настройках Apple ID; разработчик никогда не видит ни новую, ни старую карту и даже не знает, что что-то изменилось. То же самое с продлениями.

Для пользователя это выглядит как обычный процесс оформления подписки. Структурно — это чёткое разделение: Apple управляет личностью и деньгами, разработчик — продуктом. И поскольку формы регистрации на стороне разработчика нет, базы данных аккаунтов на стороне разработчика тоже нет. Того, что могло бы утечь при взломе, попросту не существует.

Это не хитрость с конфиденциальностью. Именно так работают все подписки через App Store. Большинство приложений, использующих эту модель, не делают из неё историю о приватности — потому что всё равно отдельно просят email внутри приложения, чтобы «создать аккаунт». VPN не нужно этого делать, и большинство из них делает это по привычке.

Как Snap VPN решает эту задачу

Snap построен на допущении, что процесса App Store достаточно. При первом запуске нет формы регистрации. Нигде нет поля для email. Нет шага «создать аккаунт» перед подключением.

Вы устанавливаете приложение, нажимаете «Подписаться», подтверждаете через Face ID. Со стороны Snap приходит проверенный чек и анонимный идентификатор. Чек подтверждает, что подписка активна. Идентификатор позволяет приложению запомнить, что на этом устройстве вы подписаны. Ни то ни другое не содержит вашего email, имени или платёжной информации — потому что серверы Snap их не получают. Их получает Apple.

На нашей стороне не хранится ни одного пользовательского идентификатора, привязанного к реальной личности. Доверие, которое вы оказываете Snap, — операционное (сеть, серверы, протокол), а не доверие вида «мы храним вашу личность, пожалуйста, доверяйте нам», которое присуще каждому аккаунту с email и паролем.

Практически: если бы кто-то попросил Snap «предоставить все данные о человеке с этим email-адресом», записи бы не нашлось — потому что email-адреса в базе нет. Это не маркетинговое заявление, а следствие того, что форма регистрации просто не была создана.

Если вы хотите пойти дальше на самом устройстве, наш чеклист конфиденциальности для iPhone охватывает настройки, которые стоит включить вместе с анонимным VPN.

Честные ограничения

Было бы нечестно заканчивать статью здесь, не назвав то, что эта модель не даёт. Анонимный VPN на основе Apple ID — это не то же самое, что VPN с нулевыми зависимостями доверия.

Вы всё равно доверяете Apple. Apple знает, что вы оформили подписку. Если для вас это важно — если ваша модель угроз включает саму Apple — то модель подписки через App Store вам не подходит, и единственный честный ответ — криптовалюта без аккаунта. Для большинства пользователей такой компромисс приемлем: Apple — известная величина, отношения с ней уже выстроены, и данные остаются внутри экосистемы, в которой вы и так находитесь.

Вы всё равно доверяете VPN-провайдеру в честной работе сети. Никакая модель аккаунта это не исправит. Провайдер, у которого нет вашего email, всё равно может неправильно настроить сервер, логировать соединения вопреки заявлениям или продавать агрегированные данные, которые не должен. Модель аккаунта — это сокращение масштаба возможного ущерба, а не устранение необходимости доверять оператору.

Что действительно меняется — так это масштаб последствий. Если бы серверы Snap были скомпрометированы завтра, злоумышленник не нашёл бы ни списка email, ни имён, ни номеров карт, ни платёжных адресов, ни архива тикетов поддержки, привязанных к реальным личностям. Того, что обычно утекает при взломе VPN, — базы данных аккаунтов — попросту не существует. Меньше данных для компрометации, потому что меньше данных собрано.

В этом и суть. Анонимность по умолчанию означает проектирование системы так, чтобы чувствительного не существовало с самого начала, — а не так, чтобы оно было «защищено», «зашифровано в покое» или любыми другими формулировками, означающими «у нас это есть, но аккуратно».

Итог

Противоречие VPN, который просит ваш email, реально — и индустрия в основном обходила его стороной, а не решала. Решение — не новая криптография и не очередной аудит политики «без логов»; это решение вообще не строить базу данных аккаунтов. Модель подписки через App Store делает это возможным на iPhone так, что пользователь этого не замечает, а для разработчика это структурно чисто. Вот как выглядит анонимный VPN, когда аккаунту уделяется столько же внимания, сколько трафику.

Если вы выбираете VPN и первое, о чём он спрашивает, — ваш email, это честный сигнал о том, как остальная часть продукта будет относиться к вашим данным. Более правильные настройки по умолчанию существуют.

Заключение

Если VPN, который не знает вашего email, звучит как правильный вариант по умолчанию — потому что так и есть — Snap устроен именно так с первого нажатия. Без регистрации. Без формы. Без личности в базе. Просто приложение, подписка на основе вашего Apple ID и сеть, которой можно пользоваться.