VPN-ek és a kriptovaluták: mennyire beszélhetünk valódi digitális anonimitásról?
Sok kriptovaluta-felhasználó abból indul ki, hogy a Bitcoin és más digitális eszközök alapvetően a magánszférára épülnek, és hogy megbízható VPN-ek használata elegendő a teljes anonimitás eléréséhez. Egy iAnonymous3000 néven ismert elemző azonban nemrég arra hívta fel a figyelmet, hogy a valóság ennél jóval összetettebb. A VPN-iparág működése, valamint a szolgáltatók mögött álló tulajdonosi struktúrák olyan kockázatokat hordoznak, amelyekkel a felhasználók többsége nincs tisztában.
Ki irányítja a VPN-piacot?
A Windscribe által készített részletes iparági elemzés egy sokáig háttérben maradó kérdésre világít rá, mégpedig, hogy ki gyakorol tényleges kontrollt a legismertebb VPN-szolgáltatók felett? Az adatok alapján a piac erősen koncentrált.
A történet központi szereplője a Kape Technologies, amelynek tulajdonosa Teddy Sagi. Sagi 2023 májusában egy 1,58 milliárd dolláros készpénzes ügylet során vált a vállalat egyedüli részvényesévé, ezzel közvetlen ellenőrzést szerezve a cég teljes VPN-portfóliója felett. A Kape érdekeltségébe jelenleg több ismert szolgáltatás tartozik, köztük az ExpressVPN, a CyberGhost, a Private Internet Access, a ZenMate és a Goose VPN. Az ExpressVPN-et a vállalat 2019-ben vásárolta fel mintegy 936 millió dollárért.
A helyzetet tovább bonyolítja, hogy a Kape nemcsak VPN-szolgáltatásokat üzemeltet, hanem olyan oldalakat is irányít, mint a vpnMentor vagy a Safety Detectives. Ezeket sok felhasználó független információforrásnak tekinti, miközben ugyanazon cégcsoport érdekeltségébe tartoznak, mint az általuk gyakran ajánlott szolgáltatások.
Amikor a jutalék torzítja az ajánlásokat
A VPN-iparágban széles körben elterjedt az affiliate, vagyis jutalékos marketingmodell, amely tovább csökkenti az átláthatóságot. Egyes szolgáltatók előfizetőnként fix összeget fizetnek, míg mások az eladások meghatározott százalékát adják jutalékként. Ez azt eredményezi, hogy egyes tartalomgyártók és ajánlóoldalak jelentős bevételhez juthatnak úgy, hogy saját érdekeltségükbe tartozó szolgáltatásokat, vagy azok látszólagos versenytársait népszerűsítik semleges tanácsadásnak álcázva.
Mit jelent ez a kriptovaluta-használók számára?
Azok számára, akik kriptovalutákkal kereskednek vagy fizetnek, a helyzet különösen összetett. Bár a VPN képes elrejteni a felhasználó IP-címét, önmagában nem szünteti meg a blokklánc-alapú elemzés lehetőségét. A Bitcoin tranzakciói nyilvánosak, és a modern heurisztikus módszerek képesek különböző címeket és tranzakciókat összekapcsolni, még akkor is, ha a felhasználó hálózati szinten rejtve marad.
A gyakorlatban ez azt jelenti, hogy pusztán egy VPN használata nem elegendő. A tudatosabb felhasználók ezért gyakran több szempontot mérlegelnek, erős titkosítást alkalmazó VPN-eket választanak, előnyben részesítik a kriptovalutás fizetést vagy decentralizált VPN-megoldásokat használnak.
Mit érdemes tudni a NordVPN-ről?
iAnonymous3000 külön kitér arra is, hogy a magánszféra-közösség egy része miért kezeli fenntartásokkal a NordVPN-t. A szolgáltató gyakran hangsúlyozza panamai joghatóságát, a vállalati háttér azonban ennél összetettebb. A NordVPN társalapítói, Tomas Okmanas és Eimantas Sabaliauskas a Tesonet nevű litván cég alapítói is egyben. A Tesonet portfóliójába tartozik az Oxylabs is, amely nagyszabású proxy- és web scraping szolgáltatásokat kínál, kifejezetten adatkinyerésre specializálódva. Egyazon vállalati környezetben az adatgyűjtésre épülő üzletág és egy privátszféra-központú VPN működtetése pedig érdekütközést vet fel.
A képet tovább árnyalja a 2018-as biztonsági incidens, amikor egy finnországi NordVPN-szervert egy nyitva hagyott iLO távmenedzsment-felületen keresztül kompromittáltak. A támadó root-hozzáférést, TLS-kulcsokat és OpenVPN CA-kulcsokat is megszerzett. Az esetet a vállalat csak 2019 októberében hozta nyilvánosságra, közel másfél évvel később, és csak azt követően, hogy a közösségi médiában nyomás alá helyezték.
Az adatkezelési gyakorlat sem megnyugtató mindenki számára. A NordVPN adatvédelmi tájékoztatója szerint árképzési kísérletekhez adatokat gyűjtenek, számlázási adatokat hosszú ideig megőriznek, marketing- és analitikai célokra harmadik fél szolgáltatásait használják, valamint eszközazonosítókat is alkalmaznak. Emellett a brit hirdetési hatóság korábban megtévesztőnek minősítette egyes reklámjaikat, és az Egyesült Államokban is indultak perek az automatikus megújítás gyakorlatával kapcsolatban.
Valóban privát alternatívák
iAnonymous3000 szerint a közösség által leginkább megbízhatónak tartott VPN-megoldások közé a Mullvad és a ProtonVPN tartozik. Ezek a szolgáltatók nem kapcsolódnak a Kape Technologies köré épülő vállalati hálózathoz, és nem működtetnek affiliate-programokat, amelyek torzíthatnák az ajánlásokat. Hasonló elvek mentén működik az IVPN is, amely minimális adatkezelést alkalmaz, affiliate-mentes, és lehetőséget biztosít kriptovalutás fizetésre személyes adatok megadása nélkül.
A beszélgetésben megjelenik a Brave VPN is, mint egy fejlődőben lévő alternatíva, amely a jövőben további funkciókkal bővülhet. Az alapelv azonban változatlan, érdemes olyan VPN-szolgáltatót választani, amely nem abból termel profitot, hogy más szolgáltatások felé tereli a felhasználót, és amelynek működése átlátható, auditálható és ellenőrizhető.
Kriptovaluta-használói szempontból a Mullvad, az IVPN és a ProtonVPN azért számít kiegyensúlyozott választásnak, mert üzleti modelljük nem áll közvetlen ellentétben a felhasználók adatvédelmi érdekeivel.
A kriptovaluták használata során az anonimitás nem egyetlen külső szolgáltatásból fakad, és nem egy készen kapott funkció. Sokkal inkább tudatos technológiai döntések, megfelelő ismeretek és egészséges bizalmatlanság eredménye. A VPN-iparág működésének ismeretében különösen fontos megérteni, hogy az ajánlások és az üzleti modellek között gyakran szoros kapcsolat áll fenn. Érdemes ezért olyan eszközöket választani, amelyeknek nincs közvetlen gazdasági érdekük a felhasználók megtévesztésében.