Вы платите за VPN, значит, конфиденциальность обеспечена, верно?
На самом деле — не обязательно.
Меня зовут Сяолу, я бывший консультант по кибербезопасности в KPMG, а сейчас — независимый блогер по безопасности. Ранее я писала о рисках конфиденциальности бесплатных VPN, и многие читатели вернулись с вопросом: «Значит, если я плачу за VPN, я в безопасности?»
Вынуждена разочаровать: платные VPN тоже могут записывать вашу историю просмотров. И некоторые были уличены именно в этом.
В этой статье я научу вас 7 конкретным методам, которые помогут определить, тайно ли ваш VPN отслеживает каждый ваш шаг.
Что такое политика No-Log? И почему большинство из них — пустые обещания
Практически каждый VPN размещает на своём сайте надпись «No-Log Policy» или «Zero-Log Policy». Посыл такой: мы не записываем время подключения, не записываем посещённые сайты, не записываем ваш IP-адрес — мы не записываем ничего.
Звучит отлично, правда? Проблема в том, что это заявление не имеет никакой юридической силы.
Возможно, вы не знаете, что «No-Log» не имеет юридического определения и регуляторного стандарта. Любая VPN-компания может написать на сайте «мы не ведём логов», а затем мелким шрифтом на 47-й странице политики конфиденциальности добавить: «Мы можем собирать определённые данные о подключениях для улучшения качества сервиса».
Политика No-Log — это по сути самодекларация, как табличка «Лучшая еда в городе» на двери ресторана. Нельзя верить словам только потому, что они написаны. Важно другое: проверял ли кто-то это утверждение? И что обнаружил?
VPN, которые заявляли No-Log, но были уличены
Прежде чем учить вас проверять, давайте рассмотрим классические случаи «говорим одно — делаем другое». Это не запугивание — всё это хорошо задокументированные реальные события.
UFO VPN: 20 миллионов записей раскрыто в 2020 году
UFO VPN чёрным по белому писал на сайте: «Мы не отслеживаем активность пользователей». Затем в июле 2020 года команда исследователей Comparitech обнаружила, что база данных Elasticsearch UFO VPN вообще не была защищена паролем — она лежала в открытом доступе в интернете и содержала более 20 миллионов записей пользовательских логов, включая пароли в открытом виде, IP-адреса подключений, токены сессий и даже посещённые сайты.
Хуже того, расследование показало, что FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN — шесть других VPN-брендов — использовали тот же серверный бэкенд. Все они были скомпрометированы. Разные бренды — одна компания в разных обёртках.
IPVanish: сотрудничество с ФБР и передача данных пользователей
IPVanish тоже заявлял о строгой политике No-Log. Но в 2016 году, когда Министерство внутренней безопасности (DHS) расследовало дело об эксплуатации детей, IPVanish добровольно предоставил логи подключений подозреваемого, включая IP-адреса и временные метки.
Судебные документы чётко указывают: IPVanish не только вёл логи, но и охотно сотрудничал. Позже компания была приобретена, руководство сменилось и заявило «теперь мы действительно не ведём логи» — но когда доверие подорвано, как его восстановить?
PureVPN: «Нулевые логи», но помог ФБР найти подозреваемого
В 2017 году ФБР расследовало дело о киберпреследовании, и PureVPN предоставил реальный IP-адрес и записи времени подключения подозреваемого. При этом политика конфиденциальности PureVPN явно гласила: «Мы НЕ ведём никаких логов».
PureVPN позже утверждал, что они записывали «логи подключений», а не «логи активности» — но с точки зрения пользователя, если логи позволяют отследить вашу личность, какая разница?
Расследование VPNpro: 97 VPN-брендов принадлежат всего 23 материнским компаниям
Исследование VPNpro в 2019 году выявило ещё одну проблему: 97 VPN-брендов на рынке принадлежат всего 23 материнским компаниям. Многие, казалось бы, независимые VPN-бренды принадлежат одному владельцу. Когда вы думаете, что сравниваете разные продукты, на деле вы просто выбираете между разными упаковками одной компании.
7 способов проверить: действительно ли ваш VPN ведёт логи?
Итак, разбор кейсов завершён. Переходим к практике — откройте настройки вашего VPN и проверьте каждый пункт.
Метод 1: Внимательно прочитайте политику конфиденциальности — ищите «красные флаги»
Да, вам нужно прочитать политику конфиденциальности. Никто не хочет это делать, я знаю, но это самый прямой подход.
Суть не в том, что написано, а в том, что не написано, и в расплывчатых формулировках.
Вот типичные тревожные слова:
- «может собирать» (may collect) — «может» означает «собирает»
- «агрегированные данные» (aggregated data) — звучит безобидно, но в сочетании с временными метками позволяют идентифицировать конкретного человека
- «для улучшения сервиса» (improve our services) — универсальное оправдание; под него можно подвести любой сбор данных
- «логи подключений» vs «логи активности» — это игра слов. Логов подключений (IP, временные метки, длительность сеанса) достаточно, чтобы правоохранительные органы вас нашли
- «сторонняя аналитика» (third-party analytics) — означает, что ваши поведенческие данные отправляются на внешние платформы вроде Google Analytics или Firebase
Если в политике конфиденциальности нет чёткого списка «что мы НЕ собираем», или если документ весь состоит из расплывчатых юридических формулировок — это тревожный сигнал.
Метод 2: Проверьте юрисдикцию компании
Где VPN-компания зарегистрирована — определяет, какие законы к ней применяются и может ли правительство по закону потребовать ваши данные.
Юрисдикции высокого риска (альянсы по обмену разведданными):
- «Пять глаз» (США, Великобритания, Канада, Австралия, Новая Зеландия): государства-члены обмениваются разведданными; законы позволяют обязать компании передавать данные пользователей
- «Девять глаз»: + Дания, Франция, Нидерланды, Норвегия
- «Четырнадцать глаз»: + Германия, Бельгия, Италия, Швеция, Испания
Относительно безопасные юрисдикции:
- Панама: место регистрации NordVPN; нет обязательных законов о хранении данных
- Британские Виргинские Острова (BVI): место регистрации ExpressVPN; не входит ни в один разведывательный альянс
- Швейцария: место регистрации Proton VPN; строгие законы о защите конфиденциальности
- Швеция: место регистрации Mullvad; хотя входит в «Четырнадцать глаз», шведское законодательство не обязывает VPN хранить логи
Примечание: юрисдикция — не единственный фактор, но определённо важный первичный фильтр. Если ваш VPN зарегистрирован в США, какие бы громкие заявления о No-Log он ни делал, одного судебного ордера правительства США достаточно для принудительной выдачи данных (IPVanish — хрестоматийный пример).
Метод 3: Проверьте наличие независимого аудита
Это на данный момент самый надёжный метод верификации. Независимый аудит означает, что внешняя авторитетная аудиторская или кибербезопасная фирма действительно проникла в серверы и системы VPN-компании, чтобы проверить, ведутся ли логи.
VPN, прошедшие независимый аудит (по состоянию на 2026 год):
| VPN |
Аудиторская фирма |
Количество аудитов |
Примечания |
| NordVPN |
Deloitte |
4 |
Последний в 2024, подтверждено отсутствие логов |
| ExpressVPN |
KPMG, Cure53 |
Несколько |
Архитектура TrustedServer проверена KPMG |
| Surfshark |
Deloitte |
2 |
Второй аудит завершён в 2023 |
| Mullvad |
Assured AB |
Несколько |
Шведская полиция провела обыск офиса в 2023 — данных не обнаружено |
| Proton VPN |
Securitum |
2 |
Клиент с открытым кодом, высокая прозрачность |
| Private Internet Access (PIA) |
Deloitte |
1 |
Первый аудит пройден в 2023 |
Отсутствие аудита не обязательно означает наличие логов, но пройденный аудит — это как минимум проверяемый, объективный факт, а не пустой маркетинговый лозунг.
Метод 4: Проверьте архитектуру серверов — только ОЗУ или жёсткие диски?
Это более технический, но критически важный аспект.
Традиционные VPN-серверы используют жёсткие диски. Когда данные записаны на диск, они сохраняются даже после перезагрузки. При изъятии сервера данные можно восстановить с диска.
Серверы на основе ОЗУ работают иначе: все данные хранятся в оперативной памяти, и при перезагрузке навсегда стираются. Даже если кто-то физически заберёт весь сервер, в момент отключения питания данные исчезают.
VPN с серверами на основе ОЗУ:
- ExpressVPN (TrustedServer): пионер отрасли, запуск в 2019
- NordVPN: начал полный переход в 2020
- Surfshark: все серверы переведены на ОЗУ
- Mullvad: полностью на ОЗУ
Если на сайте вашего VPN ничего не сказано о серверах на ОЗУ или бездисковой инфраструктуре, скорее всего, он работает на традиционных жёстких дисках — а значит, технически способен хранить ваши логи.
Метод 5: Поищите «канарейку» (Warrant Canary)
«Канарейка» — это хитрый юридический приём. В таких странах, как США, когда компания получает Письмо национальной безопасности (NSL), закон запрещает ей публично об этом сообщать. Но закон не обязывает компании лгать.
Поэтому некоторые VPN публикуют на сайте заявление: «По состоянию на указанную дату мы не получали тайных правительственных запросов на данные пользователей». Это и есть «канарейка» — если заявление однажды исчезнет, значит, запрос получен, но сказать об этом нельзя.
Как проверить:
1. Зайдите на сайт VPN и поищите «warrant canary» или «отчёт о прозрачности»
2. Убедитесь, что заявление регулярно обновляется (с датами)
3. Если оно существовало раньше, но теперь исчезло — тревожный сигнал
VPN с «канарейками»: NordVPN, Surfshark и Private Internet Access. ExpressVPN и Mullvad предпочитают публиковать отчёты о прозрачности.
Метод 6: Проведите тест на утечку DNS
Даже если VPN заявляет о No-Log, при утечке DNS ваша история просмотров всё равно полностью видна вашему интернет-провайдеру.
Порядок проверки:
1. Подключитесь к VPN
2. Откройте dnsleaktest.com или ipleak.net
3. Нажмите «Extended Test»
Чтение результатов:
- Если DNS-серверы принадлежат вашему VPN-провайдеру — всё в порядке, утечки нет
- Если отображается ваш интернет-провайдер — у вас утечка DNS, и провайдер видит, какие сайты вы посещаете
Утечки DNS — распространённая проблема многих VPN, особенно небольших или технически слабых. Какой бы впечатляющей ни была политика конфиденциальности, при утечке DNS все заявления о No-Log теряют смысл.
Метод 7: Проверьте разрешения приложения и встроенные трекеры
Последний метод: заглянуть «под капот» самого VPN-приложения.
Проверка разрешений (для Android):
- Откройте Настройки → Приложения → ваш VPN → Разрешения
- Обоснованные разрешения VPN: доступ к сети, VPN-подключение
- Необоснованные разрешения: контакты, SMS, камера, микрофон, местоположение (точное), состояние телефона
- Если приложение просит доступ к контактам или SMS — удаляйте немедленно
Проверка трекеров:
- Зайдите на Exodus Privacy и найдите ваш VPN
- Инструмент покажет количество встроенных трекеров
- 0-2 трекера — нормально (скорее всего, отчёты о сбоях)
- Более 5? Вероятно, отслеживаются ваше поведение, информация об устройстве и даже геолокация — с последующей продажей рекламодателям
Когда логи VPN могут навредить вам больше всего?
Вы можете подумать: «Даже если мой VPN ведёт логи — что с того? Я ничего противозаконного не делаю».
Правда в том, что риски от логов выходят далеко за рамки «быть пойманным»:
- Утечки данных: Как с UFO VPN — их базу взломали, и ваша история просмотров, IP-адрес и учётные данные оказались в даркнете
- Международные запросы данных: Думаете, зарубежный VPN недосягаем? Обмен разведданными между странами «Пяти глаз» — это серьёзно
- Поглощения компаний: VPN, которому вы доверяете сегодня, завтра может быть куплен компанией по обработке данных, и ваши исторические логи станут частью сделки
- Обход цензуры в Китае: Если ваш VPN хранит логи, а серверы расположены в странах «Пяти глаз» или в юрисдикциях, доступных для Китая — риск очевиден. О правовых рисках обхода цензуры читайте в статье Использование VPN в Китае — законно ли это?
Краткая справочная таблица: оцените уровень конфиденциальности вашего VPN
| Параметр проверки |
Безопасно |
Осторожно |
Опасно |
| Политика конфиденциальности |
Чёткий список того, что НЕ собирается |
Расплывчатые формулировки, много «может собирать» |
Политика не найдена или сплошные юридические шаблоны |
| Юрисдикция |
Панама, BVI, Швейцария |
Страна «Четырнадцати глаз» |
Китай, Россия, не раскрывается |
| Независимый аудит |
Пройден неоднократно авторитетными фирмами |
Проведён только один раз |
Не проводился |
| Серверная архитектура |
Только ОЗУ |
Не указано |
Подтверждено использование жёстких дисков |
| «Канарейка» (Warrant Canary) |
Есть и регулярно обновляется |
Есть, но давно не обновлялась |
Никогда не было / была, но исчезла |
| Тест на утечку DNS |
Утечек нет |
Периодические утечки |
Постоянные утечки |
| Трекеры в приложении |
0-2 |
3-5 |
Более 5 |
Если ваш VPN попадает в категорию «Осторожно» или «Опасно» по большинству пунктов — серьёзно задумайтесь о замене.
(Минутка рекламы) К слову о неведении логов, VPN, встроенный в Sunset Browser, работает по простому принципу: он не записывает историю просмотров, не записывает данные подключений и не собирает никакой персональной информации. Серверная архитектура изначально спроектирована так, что хранение логов технически невозможно. Откройте приложение, нажмите «Подключиться» — на бесплатном плане даже регистрация не нужна. Если ищете инструмент, который действительно заботится о конфиденциальности, читайте полный обзор в рейтинге VPN для Китая. Реклама окончена.
Часто задаваемые вопросы
Можно ли доверять политике No-Log VPN?
Нельзя просто поверить на слово — ищите подтверждение через независимые аудиты. UFO VPN, IPVanish и PureVPN заявляли о No-Log, но было доказано, что они вели записи. VPN, проверенные авторитетными фирмами вроде Deloitte, KPMG и Cure53, заслуживают сравнительно большего доверия.
Платные VPN всегда безопаснее бесплатных?
Не обязательно. Оплата означает лишь то, что вы потратили деньги — это не гарантирует более надёжную политику конфиденциальности. IPVanish был платным VPN и всё равно сотрудничал с ФБР, передав логи пользователей. Обращайте внимание на объективные показатели — юрисдикцию, отчёты аудитов, серверную архитектуру — а не на цену. Подробнее о сравнении бесплатных и платных — в статье Безопасны ли бесплатные VPN?.
Как узнать, есть ли у моего VPN утечка DNS?
После подключения к VPN зайдите на dnsleaktest.com или ipleak.net и запустите расширенный тест. Если DNS-серверы в результатах — серверы вашего интернет-провайдера, а не VPN-провайдера, у вас утечка. При утечке DNS ваш интернет-провайдер по-прежнему видит, какие сайты вы посещаете.
Действительно ли у Mullvad не оказалось данных после обыска шведской полицией?
Да. В апреле 2023 года шведская полиция провела обыск офиса Mullvad с ордером, требуя данные пользователей. Mullvad заявил, что данных для предоставления нет, и полиция ушла с пустыми руками. Это остаётся одним из самых убедительных реальных подтверждений заявления No-Log на сегодняшний день.
Почему VPN-компании используют расплывчатые формулировки в политиках конфиденциальности?
Потому что полное отсутствие сбора данных технически сложно (например, нужен мониторинг нагрузки серверов), а расплывчатые формулировки дают юридический буфер. Однако хорошие VPN чётко разграничивают «мы не собираем ничего» и «мы собираем данные, но не привязываем их к личности», и используют независимые аудиты для подтверждения. Если политика конфиденциальности VPN — сплошные расплывчатые формулировки без конкретных обязательств, это тревожный сигнал.
Заключение: доверие должно строиться на проверке, а не на маркетинге
Когда речь идёт о конфиденциальности VPN, главная проблема — не технологии, а доверие.
Каждый VPN заявляет, что он самый безопасный, самый конфиденциальный, с абсолютно нулевыми логами — но от UFO VPN до IPVanish и PureVPN история раз за разом доказывает: одних слов недостаточно.
Хорошая новость: теперь у вас есть 7 конкретных методов для самостоятельной проверки. Не нужно верить чьей-то рекламе — вы можете сами проверить политику конфиденциальности, юрисдикцию, отчёты аудитов и провести тест на утечку DNS.
Бесплатное обходится дороже всего, но и оплата не гарантирует безопасность. Единственное, что по-настоящему защищает вашу конфиденциальность — это ваша собственная осведомлённость.