快轉到主要內容

The Markup:我的VPN隱私程度如何?

分類   人文藝術 自由軟體議題
標籤   VPN
🗓️ 民國111年 壬寅年
✍ 切換正體/簡體字

我的VPN隱私程度如何? How Private Is My VPN?

VPN供應商承諾會保障使用者隱私,但是The Markup發現他們的APP和網站充滿追蹤器。

作者: Alfred Ng

原發表於The Markup網站,Ivon Huang翻譯。

Originally published on themarkup.org

過去七年以來,Shannon Morse一直在Youtube上製作關於安全和隱私的小撇步影片,包括VPN (Virtual Private Networks) 的相關內容,以及VPN軟體如何加密你的網路流量,這樣就無法被網路供應商,或者跟你連線到同一Wifi的用戶追蹤網路活動。

VPN供應商常常會宣傳說此類工具能保護隱私,因為他們能夠隱藏你的IP位址、網路供應商、地理位置,防止網站辨認出你的身份。企業員工使用VPN確保能安全的登入內部網路,活動人士使用VPN躲避政府監控,普通用戶可能會使用VPN觀看其他國家無法播放的電視節目。 

因其公眾人物身份,Morse使用ProtonVPN這類VPN服務來保障她網上活動的隱私。 

她說:「尤其因為我的內容創作者身份,我必須堅持我的安全和隱私標準。」「VPN能保障我在網路上的隱私。」

但當VPN供應商/公司說他們不會紀錄人們的活動,包含瀏覽紀錄、通話紀錄、觀看的電視節目時,不代表他們不會偷偷從使用者和忠實客戶上吸取資料。 

為了解VPN供應商想收集的資料內容,The Markup調查了14家VPN供應商的政策。我們還使用了我們的Blacklight工具,偵測VPN供應商網站上的第三方追蹤器。我們還搜尋了Citizen Browser資料庫,研究VPN供應商如何利用個人用戶資料構成的廣告平台,在Facebook上行銷他們的產品。

總結,我們發現了偽善的跡象:即使VPN供應商的首頁和部落格多方強調他們的服務帶來的隱私權好處,但他們的隱私權政策寫的卻是另外一回事。

例如Surfshark在首頁宣稱他們能夠「使用最快的VPN保護你的隱私」但卻在隱私政策裡面說,該公司會蒐集使用者裝置的廣告識別碼,用於市場行銷。

Surfshark的發言人Dom Dimas說:「我們確實會蒐集聚合資料,用於營銷目的。因為在競爭如此激烈的VPN行業中,這些資料對於商業決策是很重要的。」

並非所有的VPN供應商都會追蹤造訪網站的使用者,但有許多網站會這麼做。 

其中有8個APP會蒐集VPN使用者的資料,14個網站有10個含有追蹤器。至於那些資料跟Facebook廣告機器的關聯,我們會在一分鐘內揭曉。首先,是我們的調查結果。 

VPN供應商會蒐集使用者的哪些資料? 

我們挑選了14個最常被Security.org, WirecutterPCMag推薦的VPN供應商,另外包含了按照Citizen Browser計畫所分析,最常在Facebook上打廣告的VPN供應商。 

VPN
廣告追蹤器
第三方追蹤器Facebook像素Google分析隱私權政策中包含追蹤行為
StrongVPN53
IPVanish65
ExpressVPN63
ClearVPN82
ProtonVPN00
Mullvad00
IVPN00
Windscribe00
Private Internet Access10
Cyber Ghost10
TunnelBear33
SurfShark42
NordVPN74
VPNBook917
資料來源:The Markup

再次強調,沒有一家VPN公司說他們會紀錄使用者資料。但是該公司的隱私權政策允許他們蒐集其他方面的資料。 

例如CyberGhost VPN宣稱他們的服務能夠「在所有裝置上保有隱私」, 但是他們的隱私權政策卻說會蒐集裝置上「非個人」的資訊,包含廣告ID,電池電量,陀螺儀(讓手機能自動旋轉螢幕的感測器),還有電信供應商的資料。

CyberGhost並無回覆置評要求。

另一方面,NordVPN說他們會蒐集客戶的使用者ID和裝置ID,用於行銷目的。 

NordVPN的發言人Tyler Miller說使用者ID僅是為了辨認付費來源 (例如某人看到廣告而下載APP),但是客戶並未被告知會蒐集該項資料。 

Miller在電子郵件說:「我們接受和理解對我們政策的批評,但是數百萬用戶若是沒有VPN,將會更不安全,並且失去一部分隱私。」

ExpressVPN的隱私權政策表示他們會蒐集裝置ID,追蹤使用者從哪裡得知、註冊他們的行動APP。ClearVPN也在隱私權政策中表明他們會蒐集裝置ID。 

來自ClearVPN母公司MacPaw的發言人Julia Petryk表示,該公司的政策已在網站上清楚揭露,並且強制使用者在APP內檢視隱私權政策。 

Petryk說:「就如同你所提到的,使用者可能已同意蒐集裝置ID,並且這並不算個人資訊。」 

雖然該公司的隱私權政策表示蒐集裝置ID需要使用者同意,但若要使用VPN,使用者就必須同意政策。 

並且,技術上來說「不是個人資訊」的裝置ID,也是有可能藉由一點一點的資訊辨識出個人身份,有時候甚至能重現出個人軌跡和行為。 

致力於推廣數位資料權利的PersonalData.io董事會成員,Paul-Olivier Dehaye表示:「當裝置ID與真實身份聯繫上,事情便會開始失控,問題就大了。」 「這是開啟追蹤生態系的鑰匙。」 

就拿最近引起媒體關注的案件當例子吧:一位天主教牧師使用約會軟體Grindr,被教會出版機構追蹤,發現他是一名同性戀。 

媒體報導,該機構取得的是商業用途的地理資訊,雖是匿名資料,但那之中包含該名牧師的手機裝置ID。即使資料中並無包含牧師姓名,但是裝置ID和他的生活工作地點產生關聯,因而聯繫到他本人。 

我們必須了解到,VPN供應商的隱私政策是建立在信任基礎上,因為這些公司有能力私底下蒐集大量資訊而不為用戶所知。 

2017年,民主與科技中心 (Center for Democracy and Technology,CDT) 向聯邦貿易委員會 (FTC) 呈遞訴狀 ,控告Hotspot Shield Free VPN廣告不實。該公司宣稱提供完全的隱私服務,但卻私底下與第三方廣告聯播網分享裝置識別碼資料,重新導向網路流量,以不安全的方式處理使用者資料。 

HotSpot Shield Free VPN母公司Aura的首席通訊官,Howard Clabo在電子郵件中說:「CDT發出控訴後,FTC就向我們要求更多資訊,我們就提供相關資訊。之後FTC並無採取任何行動。」 

CDT的首席技術官Mallory Knodel表示,雖然蒐集資料做行銷用途是很常見的商業行為,但是VPN供應商這樣做會有傷害聲譽的風險。 

Knodel還說:「我們需要一個值得信任VPN的健全生態系。要展示信任程度,就從不蒐集非必要資料開始。」 

VPN供應商的網站如何追蹤使用者?

網路上佈滿了數位追蹤器。The Markup之前使用Blacklight工具所作的調查發現,80000個熱門網站中有87%含有第三方cookies或追蹤網路請求。 

網站管理者常常會使用這種追蹤器查看有誰造訪他們的網站,查看客群的統計資料,並且進行精準廣告投放。 

即使VPN供應商販售的是隱私產品,並不代表他們不會使用這類資料蒐集技術。 

我們發現VPN網站上的追蹤器屬於商業銷售公司,像是AppsFlyer、Facebook、Google。

在先前的調查中,這些網站平均有7個廣告追蹤器,3個第三方追蹤器。其中NordVPN, ClearVPN, VPNBook網站上的追蹤器數量高於平均值,VPNBook網站有高達9個廣告追蹤器和17個第三方追蹤器。

VPNBook網站上的FAQ寫道:「這個免費的VPN服務是由我們網站上的廣告和支持者的捐贈所支持。」VPNBook並未回覆置評要求。 

NordVPM網站政策上寫道,該網站會使用結合瀏覽器和唯一使用者ID的追蹤器,進行廣告投放。NordVPN的網站還會使用cookies辨識LinkedIn的使用者,以方便在該網站推銷產品。 

StrongVPN, IPVanish, ExpressVPN, ClearVPN利用Facebook像素,讓廣告巨頭知道你是否有造訪他們的網站。

經營IPVanish和StrongVPN的VIPRE集團產品長Usman Choudhary表示,VIPRE使用網站上的追蹤器「更好的了解我們網站的訪客,投放廣告以吸引他們再度造訪。」且強調資料是匿名的。 

只有4個VPN供應商的網站完全沒有追蹤器,其中有3個VPN APP不會以任何形式追蹤使用者。The Markup的分析發現Mullvad, IVPN, Windscribe, ProtonVPN的網站上都沒有追蹤器。除了ProtonVPN,他們的APP會使用客戶的電郵進行廣告投放,不過APP並不會蒐集任何用於行銷的資料。

在這篇文章發表之後,ProtonVPN的發言人Matt Fossen向我們表示,該公司只會使用電郵來寄送新聞和服務更新訊息。

PersonalData.io的Dehaye說:「有很多人努力拒用Facebook和Google的服務。但要是他們在購買工具的網站上就遭到追蹤,隨後資料被這些公司知道,那就跟他們當初的期望相反了。」 「這正好跟他們使用VPN的初衷背道而馳。」 

這些資料會被如何使用?

我們無法確切得知。由個人資料組成的網路廣告系統十分複雜,並且不夠透明。也許VPN使用者手機感測器的資料,能在資料領域某個不起眼的角落轉換成金錢? 

不過至少有些追蹤行為很直白:企業常使用網站訪客和使用者的資料,作為行銷用途。我們的Citizen Browser統計資料便能讓我們一窺ExpressVPN這家公司,如何蒐集APP使用者和網站訪客的數據,再將其用於Facebook廣告投放。 

我們的Citizen Browser計畫是讓全美國的Facebook使用者跟我們分享他們動態時報的資料,包含動態時報上的廣告,以及Facebook顯示為何你會看到此廣告的資訊。(如果你是Facebook用戶,點一下廣告右上角選單的「為什麼我會看到這個?」就會顯示該資訊。)

我們小組成員的資料顯示ExpressVPN在Facebook上購買許多廣告,並且部份廣告顯示的訊息代表ExpressVPN利用Facebook的自訂廣告受眾功能,來鎖定客群。自訂廣告受眾代表的是廣告主已經辨識,並想要接觸的特定客群。 

Citizen Browser小組成員於5月20日看到ExpressVPN有49折優惠的廣告。我們的資料顯示,該廣告鎖定的是過去有使用VPN APP的使用者。5個小組成員也在4月看到ExpressVPN的廣告,鎖定曾造訪VPN網站的使用者。 

這個廣告策略跟ExpressVPN的部落格說法自相矛盾。他們在一篇5月的部落格貼文說Facebook上的定向廣告「可怕」、「具有侵略性」。而11天前,正是我們小組成員看到他們鎖定APP用戶廣告的時候。 

ExpressVPN的副總裁Harold Li在電郵中說:「ExpressVPN使用第三方工具,在第三方平台向曾造訪我們網站的潛在新客戶投放廣告。」

其他公司早已放棄這種廣告策略。 

IVPN的行銷長Viktor Vecsei說該公司因為隱私考量,在2019年已停止用追蹤器在Facebook和Google打廣告。他提到這損害了公司營收成長,但對保護隱私來說很值得。

Vecsei說:「這種劃清界線的作法,[代表]我們永遠無法成為第一名的VPN供應商,並且要推廣我們的服務會很辛苦。」 「即使如此,我們也不能為監控企業提供金援,甚至把它當作必要的權衡作法而置之不理。」

至於YouTube內容創作者Morse,她對VPN供應商過度追蹤使用者的行為感到驚訝。 

Morse說:「我很難過,因為我原本期望VPN能帶給我隱私。我意思是那就是我們使用它的原因。」 「你會希望他們的承諾包含對你隱私的保護。」

這篇文章原先發布在The Markup上,依照創用CC-姓名標示-非商業性-禁止改作授權重新發表在此。

相關文章

軟體自由保護組織:是時候放棄使用Github了!
分類   人文藝術 自由軟體議題
標籤   Github Microsoft Free Software
為什麼不玩《Minecraft》遊戲?別忘記它缺點就是專有軟體
分類   人文藝術 自由軟體議題
標籤   Minecraft Free Software
Distro-hopping筆記~openSUSE和Fedora評價
分類   人文藝術 自由軟體議題
標籤   Fedora OpenSUSE

留言板

此處提供二種留言板。點選按鈕,選擇您覺得方便的留言板。要討論程式碼請用Giscus,匿名討論請用Disqus。

這是Giscus留言板,需要Github帳號才能留言。支援markdown語法,若要上傳圖片請貼Imgur或Postimages。您的留言會在Github Discussions向所有人公開。

這是Disqus留言板,您可能會看到Disqus強制投放的廣告。為防止垃圾內容,有時留言可能會被系統判定需審核,導致延遲顯示,請見諒。若要上傳圖片請善用圖床網站。