Про VPN от "хороших русских"

 Я стараюсь вообще не вмешиваться в скандалы между хорошими русскими, которые они ежедневно устраивают в соцсетях, особенно, ФБК Навального. Но тут дело серьезное. И оно касается персональных данных и приватности тех, кто продолжает борьбу с путинским режимом, да и вообще всех, кто стал очень доверять "секте Навального". По другому их уже никак не назвать. Дело касается VPN.

Небольшая предыстория. Нормальной российской оппозиции уже давно известно, что, как минимум с 2012 года именно через Волкова шло много сливов адресов российских оппозиционеров, которые так или иначе регистрировались на сайтах или в группах ФБК. А потом людей сажали в тюрьмы. 

И мы с тех пор просто не имеем дела ни с одной их инициативой. Но народу много, особенно молодежи, которые не зная истории, продолжают вливаться в ряды тех, кто честно донатит на политзаключенных, к которым деньги ни разу не дошли. Пишут политзекам письма, не понимая, что любое такое письмо сначала читает тюремный цензор, а потом такому политзеку срок добавляют. 

Но тут иная история, и тоже связанная с этими ребятами. И, повторяю, она касается всех "хороших русских" и нашей с вами безопасности.

Началась она довольно давно. Леонид Волков не раз говорил, что они создали свой защищенный VPN. А в последнее время Волков стал открещиваться от своих же слов. Ну и народ капнул поглубже, чтобы разобраться во всей этой истории.

 Поэтому я просто скопирую текст, и вставлю его сюда.

Я посмотрел на сайты трех оппозиционных медиа, предоставляющих доступ к “своему VPN” - the Insider, «Медиазона» и «Медуза», а также на VPN сервис Майкла Наки. Медиазона, Медуза и Инсайдер выдают продаваемые ими VPN как свои собственные продукты. «The Insider, заблокированный в России сразу после начала полномасштабной войны в Украине, создал собственный THE INS VPN», — утверждает сайт the Insider. «Медиазона» запустила VPN. С его помощью вы можете обходить все блокировки и поддержать нас из России!» - пишет аккаунт «Медиазоны». “Мы подготовили VPN на все случаи жизни: — Media VPN — для доступа к YouTube и независимым медиа, заблокированным в России” - заявляет «Медуза». В то же время, форма оплаты за каждый из этих VPN предлагает платить деньги некоей организации FF Clear Path LLC, зарегистрированной в Делавэре. «Оформляя подписку, вы уполномочиваете компанию FF Clear Path LLC списывать плату в соответствии с условиями до момента отмены подписки» - утверждают платежные формы «Медузы», «Медиазоны» и «Инсайдера». Единственное упоминание FF Clear Path LLC, которое у меня получилось найти на сайтах Медузы, Инсайдера и Медиазоны - в политике конфиденциальности (Privacy Policy), где эта контора указана как Controller, хранящая IP адреса клиентов. Тут надо сделать отступление. Controller (термин определен в параграфе 4(7) пресловутой евросоюзной регуляции 2016/679, она же GDPR) - это лица, которое определяет цели и средства обработки персональных данных, получаемых от пользователей. Параграф 13(1)(a) той же регуляции требует предоставлять сведения о identity и контактные данные controller’а в то время, когда он получает персональные данные - собственно, эта регуляция, видимо, и заставила выложить Privacy Policy и включить информацию о FF Clear Path LLC на сайтах оппозиционных СМИ. Без GDPR про нее на этих сайтах, скорее всего, ничего бы не получилось найти. С контактными деталями, правда, получилось забавно. В этих почти идентичных Privacy Policy Медиазона приводит в качестве e-mail для обратной связи с “контролером” FF Clear Path LLC ящик с говорящим названием noreply@zonavpn.online, Медуза - noreply@mediavpn.net, а Инсайдер - вообще емейл аккаунт на gmail с еще более специфическим названием sendmeurcomplaints@gmail.com (политика конфиденциальности у всех организаций только на английском языке, хотя сайты на русском - ну, например, https://vpn.theins.ru/insvpnprivacy.pdf. Ну да ладно, писалось не для клиентов - на них наплевать - а для регулятора). У VPN Майкла Наки Privacy Policy куда более интересное - оно вообще не упоминает название Controller’а, вместо этого приводя следующий текст: «To ensure the protection of our business interests and maintain security, the company's name and physical address are available upon request. Should you require this information or have any other inquiries, please contact us via email at Macknack098@gmail.com». (Для защиты наших деловых интересов и обеспечения безопасности, название компании и ее физический адрес предоставляются по запросу. Если вам потребуется эта информация или у вас возникнут другие вопросы, пожалуйста, свяжитесь с нами по электронной почте: Macknack098@gmail.com) Я не очень понимаю, какой смысл скрывать имя компании и как это может «обеспечить защиту наших деловых интересов и поддерживать безопасность», а также как это вообще вписывается в регуляторные требования из уже упомянутого параграфом 13(1)(a). Документ у Майкла, впрочем, писался видимо на коленке и очень второпях, и на юридические детали времени не было, поскольку там есть например такое: «The Company the meaning of the Act on combating excessive delays in commercial transactions of 8 March 2013. is the Controller of the personal data collected by Service.» (Компания, в соответствии с Законом о борьбе с чрезмерными задержками в коммерческих сделках от 8 марта 2013 года, является контроллером персональных данных, собираемых Сервисом.) Интерпретацию этой фразы, как и соответствие нераскрытия личности Controller’а на этапе получения клиентских данных еврорегуляциям, я оставлю читателям. В общем, выглядит всё это как очень странный и кмк крайне непрофессиональный подход к ведению бизнеса.

Теперь о том, почему это проблема. Во-первых, то, что мы видим - это кмк крайне сомнительная бизнес-практика, вводящая клиентов в заблуждение. Налицо то, что называется misrepresentation. Медуза, Инсайдер и Медиазона должны не утверждать, что это «их VPN», а подробно раскрыть роль FF Clear Path LLC на своем сайте и объяснить, почему платежи идут этой конторе и какая вообще у нее роль. Майклу Наки также не мешало бы раскрыть личность того самого Controller - странно получать Privacy Policy от компании, оперирующей клиентскими данными, про которую не известно даже ее имени. Во-вторых, FF Clear Path LLC это не какой-то допустим агрегатор платежей, это буквально компания, продающая VPN услуги, которая пишет про это на своем сайте. Причем эта компания используется значительным количеством оппозиционных медиа, якобы создавших свой VPN. Клиентская база у этих медиа находится не в благополучной западноевропейской стране, а в России, ну или значительно связана с ней. Россия - это не та страна, которая дружелюбно относится к оппозиции или свободе слова в интернете. Такое сочетание делает FF Clear Path LLC легкой целью для режима и создает потенциальный collateral damage для тех, кто с ней взаимодействует - особенно, если за ней стоят или с ней взаимодействуют те, у кого непростые отношения с властями. Достаточно Росфинмониторингу внести ее в список террористов и экстремистов, люди, осуществляющие ей платежи, попадут под риск.

Они же не знают, что платежи идут в FF Clear Path LLC, они думают, что реально платят Медузе, Инсайдеру или Медиазоне за «их» замечательный продукт. Понятно, что конкретно сейчас прямых рисков нет, но в случае изменения ситуации мне сложно представить, чтобы наши оппозиционные СМИ оперативно начали уведомлять своих клиентов о том, что надо прекращать платежи - есть же уже совершенно позорная история замалчивания рисков донатов ФБК, которая обсуждалась в этой соцсети задолго до того, как эти СМИ начали про нее писать (и которую ФБК не менее позорно не захотела разрулить достойно - например, взяв на себя ответственность и оперативно сообщив публике/своим донорам о рисках). По-хорошему, в сложившейся ситуации СМИ, продающие такой вот VPN, должны подробно объяснить на своих сайтах, что это за организация - FF Clear Path LLC, получающая за них деньги, в чем состоит ее роль в продаваемых ими услугах и кто именно за ней стоит. Чтобы клиенты понимали, какие риски они берут, и могли в случае негативного изменения ситуации быстро на нее отреагировать. Текущий подход оппозиционных СМИ к этому бизнесу, особенно с учетом российских реалий, выглядит совсем непрофессиональным и неэтичным.

В скриншоте ниже Волков подтверждает, что он сделал VPN Generator, в Privacy Policy сервиса с использованием VPN Generator идет отсылка к тому же самому FF Clear Path LLC. При покупке ключей платеж идет опять же FF Clear Path LLC. Можете сами в этом убедиться: https://genvpn.org

Комментариев там море. Но из всего сказанного ясно одно, что продаваемые доверчивым пользователям "безопасные соединения " VPN не только не безопасны, но вся клиентская база находится в России.

Ай да Волков, ай да ссукин сын!