Чому VPN не повинен потребувати вашої електронної пошти

У серці більшості VPN-продуктів є тиха суперечність. Ви реєструєтеся, щоб сховати свою IP-адресу від вебсайтів і мереж, якими користуєтеся. Перш ніж ви зможете це зробити, провайдер просить вашу електронну пошту. Тоді ваше ім'я з картки. Тоді платіжну адресу. Ваша реєстрація відбувається з вашого домашнього IP, тож вони мають і його. На той час, коли застосунок завершує встановлення, компанія, якій ви платите за захист вашої приватності, знає про вас більше, ніж більшість сайтів, від яких ви намагалися лишитися приватними.

Анонімний VPN— той, який справді не знає, хто ви — мав би бути моделлю за замовчуванням, а не рідкісним винятком. Ця стаття про те, чому ця суперечність існує, який вигляд мають реалістичні альтернативи і як підписка через App Store на iPhone тихо вирішує проблему, яку індустрія обходить уже п'ятнадцять років.

Суперечність на вхідних дверях

Політика без журналів трафіку — ключова особливість більшості орієнтованих на приватність VPN. Вона означає, що провайдер не тримає записів про те, які сайти ви відвідували, що завантажували чи до яких IP під'єднувалися. Така обіцянка.

Що ця обіцянка часто оминає — це друга база даних, та, у якій ваш обліковий запис. Ваша електронна пошта, ваше ім'я з картки в файлі, IP, з якого ви зареєструвалися, IP, з якого ви входите, ваші звернення до підтримки, ваша історія поновлень. Нічого з цього не є «трафіком». Усе це — особистість. І майже кожен VPN, який ви можете назвати, її тримає.

Тож питання насправді не в тому, «чи логує цей VPN мій трафік». Питання в тому, «що цей VPN знає про мене, крапка». Бік трафіку й бік облікового запису — це дві різні проблеми, і майже кожна розмова про приватність VPN охоплює лише першу.

Моделі облікових записів у VPN-індустрії

Якщо відступити на крок, насправді є лише жменька патернів. Варто назвати кожен, щоб ви могли розпізнати, який із них використовує провайдер.

Електронна пошта й пароль

Класична реєстрація в стилі SaaS. Ви даєте електронну пошту, задаєте пароль, підтверджуєте за посиланням. Провайдер тепер має для вас постійний ідентифікатор і запис про те, коли і звідки ви зареєструвалися. Це панівна модель і вона, зі значним відривом, найбільш вразлива.

Електронна пошта плюс платіжний процесор

Те саме, що вище, з доданою до файлу карткою через Stripe чи подібне. Процесор обробляє дані картки, але VPN усе одно має вашу електронну пошту, ваше ім'я з картки та платіжний запис. Повернення коштів і поновлення потребують, щоб електронна пошта існувала.

Магічне посилання чи одноразовий код

Подається як «без пароля», а іноді як «дружній до приватності». Це не так у жодному значущому для приватності сенсі. Провайдер усе одно має вашу електронну пошту; він просто не просить вас запам'ятовувати для неї пароль.

Підписка App Store через ваш Apple ID

Це модель, на яку більшість користувачів iPhone ніколи не дивиться уважно. Ви торкаєтеся «підписатися», підтверджуєте за допомогою Face ID, і транзакція проходить через Apple. Розробник не бачить вашої електронної пошти, вашої картки чи вашого імені. Він отримує підписану квитанцію від Apple, що підтверджує активність підписки. Ми ще повернемося до цього.

Криптовалюта без облікового запису

Максималістський варіант. Ви платите в Monero чи подібному, отримуєте токен чи облікові дані, ніколи нічого провайдеру не даєте. У принципі справді анонімно, але операційно болісно — ви втрачаєте легке поновлення, легке повернення коштів, легке перенесення на інший пристрій і берете на себе тягар самостійного керування обліковими даними. Для більшості користувачів це не реальний варіант, навіть якщо їм небайдужий результат.

Ризики VPN-акаунтів, прив'язаних до особи

Легко відмахнутися від даних на боці облікового запису словами «ну, вони мають мою пошту, то й що». Це «то й що» стає цілком конкретним досить швидко.

Радіус ураження повістки й юридичного запиту

Політика без журналів на боці трафіку справді корисна, але вона не поширюється на дані облікового запису. Якщо суд наказує провайдеру передати те, що він має про певну електронну пошту чи платіжну особу, він мусить скоритися. Провайдер не може сказати «ми не тримаємо журналів трафіку, тож у нас нічого немає» — він мусить передати запис облікового запису, IP реєстрації, звернення до підтримки й історію поновлень.

Самого того запису часто досить, щоб підтвердити, що конкретна людина була клієнтом протягом конкретного проміжку. Залежно від юрисдикції та запиту, це значуще розкриття навіть без жодних прикріплених даних трафіку.

Вразливість до витоку даних

Бази облікових записів витікають. Вони витікали у великих VPN-провайдерів, менеджерів паролів і всіх поміж ними. Коли зламано базу CRM чи автентифікації, витік розкриває не лише вашу електронну пошту — він розкриває той факт, що ви, з цією поштою, були клієнтом VPN. Це не дрібниця. Для деяких користувачів у деяких місцях саме цей єдиний факт і є чутливою частиною.

Перехресна кореляція між витоками

Глибша проблема в тому, що жоден витік не стається ізольовано. Електронна пошта вашого VPN-акаунта — це також ваша пошта для покупок, ваша пошта для форумів і, ймовірно, ваша робоча пошта. Щойно витече кілька баз даних, та сама пошта починає з'являтися в усіх них, і профіль збирається сам із-поміж уламків. Найприватніше в обліковому записі — це часто взагалі його не мати.

Щодо того, що провайдери насправді мають на увазі, коли кажуть «без журналів», перегляньте наш матеріал про те, що насправді означає VPN без журналів, а для ширшої картини, які заяви VPN витримують прискіпливий розгляд, перегляньте наш посібник із поширених міфів про VPN.

Як підписки Apple ID відокремлюють особу від розробника

Модель підписки App Store структурно дуже відрізняється від моделі облікового запису SaaS, і варто зрозуміти, чому це має значення для анонімного VPN.

Коли ви оформлюєте підписку на застосунок через App Store, ви вступаєте в транзакцію з Apple, а не з розробником. Apple тримає ваш спосіб оплати, ваш Apple ID, вашу платіжну адресу та історію вашої підписки. Розробник — у цьому випадку VPN-провайдер — сидить по інший бік цієї стіни.

Те, що розробник фактично отримує, коли ви оформлюєте підписку, — це підписана квитанція. Фреймворк StoreKit від Apple передає застосунку криптографічний об'єкт транзакції, а сервер розробника звіряє цю транзакцію із серверами Apple. Звірка повертається з одним важливим фактом: так, ця підписка активна, і так, вона належить цьому анонімному ідентифікатору. Жодної електронної пошти. Жодного імені. Жодної картки. Жодної адреси.

Якщо ви скасовуєте, ви скасовуєте через Apple. Якщо хочете повернення коштів, ви просите Apple. Якщо ваша картка завершує строк дії, ви оновлюєте її в налаштуваннях Apple ID — розробник ніколи не бачить ні нової, ні старої, ані навіть того, що щось змінилося. Те саме стосується й поновлень.

Для користувача це виглядає як звичайний процес підписки. Структурно це чистий поділ: Apple опікується особою та грошима, розробник опікується продуктом. І оскільки на боці розробника немає форми реєстрації, на боці розробника немає бази облікових записів. Те, що витекло б під час злому, просто не існує, щоб витекти.

Це не трюк для приватності. Так працюють усі підписки App Store. Більшість застосунків, що його використовують, не мають історії про приватність, яку можна було б цим розповісти, бо вони просять вашу електронну пошту окремо, усередині застосунку, щоб «створити ваш обліковий запис». VPN не потрібно цього робити, а більшість із них усе одно це роблять за звичкою.

Як це робить Snap VPN

Snap побудовано навколо припущення, що процесу App Store достатньо. Немає форми реєстрації під час першого запуску. Немає поля електронної пошти ніде. Немає кроку «створіть обліковий запис», перш ніж ви зможете під'єднатися.

Ви встановлюєте застосунок, торкаєтеся «підписатися», підтверджуєте за допомогою Face ID. З боку Snap надходить перевірена квитанція й анонімний ідентифікатор. Квитанція каже, що ви підписані. Ідентифікатор дає застосунку змогу пам'ятати, що на цьому пристрої ви підписані. Жоден із них не містить вашої електронної пошти, вашого імені чи вашої платіжної інформації, бо сервери Snap їх не отримують — їх отримує Apple.

На нашому боці не зберігається жодного ідентифікатора користувача, прив'язаного до реальної особи. Довіра, яку ви покладаєте на Snap, — операційна (мережа, сервери, протокол), а не той різновид довіри «ми тримаємо вашу особу, будь ласка, довіртеся нам із нею», що йде з кожним обліковим записом з електронною поштою й паролем.

На практиці: якби хтось попросив у Snap «усі дані, які ви маєте про особу за цією адресою електронної пошти», не було б запису для надання, бо в файлі немає жодної адреси електронної пошти. Це не маркетингова заява, це наслідок того, що ми не побудували форму реєстрації.

Якщо хочете піти далі на самому пристрої, наш чек-лист приватності iPhone охоплює налаштування, які варто ввімкнути поряд з анонімним VPN.

Чесні обмеження

Було б оманливо завершити статтю тут, не назвавши, чого ця модель не робить. Анонімний VPN, побудований на Apple ID, — це не те саме, що VPN із нульовими залежностями довіри.

Ви все одно довіряєте Apple. Apple знає, що ви оформили підписку. Якщо це вас турбує — якщо ваша модель загроз включає саму Apple — тоді модель підписки App Store не підходить, і шлях криптовалюти без облікового запису є єдиною чесною відповіддю. Для більшості користувачів обмін прийнятний: Apple — відома величина, відносини вже існують, а дані містяться всередині екосистеми, у якій ви вже є.

Ви все одно довіряєте VPN-провайдеру керувати мережею чесно. Жодна модель облікового запису цього не виправляє. Провайдер, який не має вашої електронної пошти, усе одно може неправильно налаштувати сервер, логувати з'єднання, які він заявляв не логувати, чи продати агреговані дані, які не мав би. Модель облікового запису — про зменшення того, що може розкрити компрометація, а не про усунення потреби довіряти оператору взагалі.

Що вона таки змінює — це розмір радіуса ураження. Якби сервери Snap зламали завтра, зловмисник не знайшов би жодного списку електронних адрес, жодного списку імен, жодних номерів карток, жодних платіжних адрес, жодного архіву звернень до підтримки, прив'язаного до реальних особистостей. Те, що зазвичай витікає під час злому VPN — база облікових записів — не існує. Менше є чого компрометувати, бо менше зібрано.

Ось у чому суть. Анонімність за дизайном означає проектувати систему так, щоб чутливого там не було від самого початку, а не так, щоб воно було «захищене» чи «зашифроване в стані спокою» чи будь-яка інша фраза, що означає «воно в нас є, але обережно».

Підсумок

Суперечність VPN, який питає вашу електронну пошту, реальна, і індустрія здебільшого обходила її замість того, щоб виправити. Виправлення — це не нова криптографія чи новий аудит без журналів; це невибудовування бази облікових записів від самого початку. Модель підписки App Store робить це можливим на iPhone у спосіб, невидимий для користувача і структурно чистий для розробника. Ось як виглядає анонімний VPN, коли бік облікового запису сприймають так само серйозно, як і бік трафіку.

Якщо ви обираєте VPN, і перше, що він просить, — це ваша електронна пошта, це справедливий сигнал про те, як решта продукту думатиме про ваші дані. Кращі стандартні налаштування існують.

Наостанок

Якщо VPN, який не знає вашої електронної пошти, звучить як правильне значення за замовчуванням — бо воно таке — Snap збудовано саме так від першого дотику. Без реєстрації. Без форми. Без особи у файлі. Просто застосунок, підписка, прикріплена до вашого Apple ID, і мережа, якою ви можете користуватися.