Найти в Дзене
Станислав Одинцов
1033 подписчика

Бесплатный VPN слил переписки 8 миллионов человек с ChatGPT и Claude. И это было прописано в соглашении⁠⁠

1
1 мин
Помните классику «если продукт бесплатный — значит, товар это ты»? Urban VPN только что показал это наглядно.
Что произошло
Чуваки из Koi Security покопались в коде популярного расширения Urban VPN Proxy (6 млн загрузок в Chrome, ещё 1,3 млн в Edge) и офигели.
С июля 2025 года расширение тихо сливало всё, что пользователи писали нейросетям
— ChatGPT, Claude, Gemini, Copilot и ещё штук пять платформ. Каждый ваш
запрос, каждый ответ AI, время сессии — всё уходило на сервера
компании.
А дальше самое вкусное: эти данные продавались через дата-брокера Datastreams.io. По $0,0001 за запись. Дёшево? Ну так записей-то миллионы.
Самое смешное (на самом деле нет)
- Urban VPN имел статус Featured в Chrome Web Store — это типа «рекомендовано Google» после ручной
проверки. То есть код, который ворует переписки с Gemini (продукт самого
Google), прошёл проверку Google и получил значок качества.
- Сбор данных работал даже при выключенном VPN. То есть ты думаешь, что просто установил расшире

Помните классику «если продукт бесплатный — значит, товар это ты»? Urban VPN только что показал это наглядно.

Что произошло

Чуваки из Koi Security покопались в коде популярного расширения Urban VPN Proxy (6 млн загрузок в Chrome, ещё 1,3 млн в Edge) и офигели.

С июля 2025 года расширение тихо сливало всё, что пользователи писали нейросетям
— ChatGPT, Claude, Gemini, Copilot и ещё штук пять платформ. Каждый ваш
запрос, каждый ответ AI, время сессии — всё уходило на сервера
компании.

А дальше самое вкусное: эти данные продавались через дата-брокера Datastreams.io. По $0,0001 за запись. Дёшево? Ну так записей-то миллионы.

Самое смешное (на самом деле нет)

- Urban VPN имел статус Featured в Chrome Web Store — это типа «рекомендовано Google» после ручной
проверки. То есть код, который ворует переписки с Gemini (продукт самого
Google), прошёл проверку Google и получил значок качества.

- Сбор данных работал даже при выключенном VPN. То есть ты думаешь, что просто установил расширение на всякий случай, а оно уже пишет каждое твоё слово.

- Отключить слежку в настройках было невозможно. Единственный способ — снести расширение.

А теперь главный финт ушами

Всё это было прописано в пользовательском соглашении. Прямым текстом: «передаём дочерней компании обезличенные данные о взаимодействии с чат-ботами для маркетинговых исследований».

И дальше: «Из-за характера данных может обрабатываться конфиденциальная информация. Мы не можем гарантировать удаление всей личной информации».

То есть они честно написали «будем читать ваши переписки и продавать», а 8 миллионов человек нажали «принимаю».

Что утекло

Люди же нейросетям рассказывают всё: медицинские вопросы, финансовые дела, рабочие проекты, код с API-ключами, личные проблемы. Исследователи нашли в логах пароли, ключи доступа, конфиденциальные бизнес-планы.
Вишенка на торте

Нашёл в архивах vc: в 2022 году Альфа-банк официально рекомендовал клиентам за границей использовать Urban VPN для доступа к приложению. Цитата: «Он бесплатный и не требует регистрации».

Ну, теперь понятно почему бесплатный.

Что делать, если у вас стояло это расширение:
- Снести к чертям (если ещё не снесли — Google и Mozilla уже удалили их из магазинов)
- Сменить все пароли, которые могли мелькать в переписках с AI
- Если использовали API-ключи — перевыпустить.