VPN zdarma vám může více uškodit než pomoci. Uživatele nikdo nevaroval, že mohou jejich data skončit na černém trhu

Bezpečnostní výzkumník odhalil roku 2023 únik víc než 360 milionů záznamů uživatelů populární bezplatné VPN SuperVPN, včetně e-mailů, IP adres a geolokace.

Zdroj fotografie: Pexels

Aplikace, která slibuje ochranu soukromí, ve skutečnosti shromažďovala přesně ta data, před jejichž zneužitím měla chránit. A nejde o ojedinělý případ. Celý segment bezplatných VPN trpí systémovým problémem: výzkum portálu Top10VPN u stovky nejpopulárnějších bezplatných Android VPN odhalil úniky dat u 88 % testovaných aplikací. Nejdražší na bezplatné VPN totiž není předplatné, které ušetříte. Je to neověřená důvěra, kterou službě dáváte.

SuperVPN: 360 milionů záznamů na dosah

SuperVPN je dodnes dostupná v Google Play, má přes 100 milionů stažení a v popisu aplikace uvádí, že nesdílí data s třetími stranami. Zároveň ale přiznává sběr osobních údajů a identifikátorů zařízení. Tento rozpor je sám o sobě varovný, jenže běžný uživatel se k detailům v sekci „Data safety“ většinou neprokliká.

Fowlerova zjištění z roku 2023 ukázala, co se za fasádou skrývalo: nezabezpečená databáze obsahovala e-mailové adresy, původní IP adresy uživatelů, geolokační data, záznamy o navštívených webech a identifikátory zařízení. Jinými slovy, kompletní profil, který umožňuje deanonymizaci, cílený phishing i sledování pohybu konkrétního člověka.

Veřejné zdroje nedokládají, že by právě tato databáze byla přímo prodána na kriminálním fóru. Mechanismus je ale dobře zmapovaný a funguje ve dvou větvích. V té komerční sbírají aplikace lokalizační a provozní data a přes datové brokery je prodávají stovkám klientů; americká Federální obchodní komise v lednu 2024 zakázala brokeru X-Mode/Outlogic právě takový obchod s citlivými lokalizačními daty. V té kriminální se odcizené databáze obchodují na fórech typu LeakBase, kde slouží k phishingu, převzetí účtů a dalším podvodům. Europol jedno takové fórum rozbil v roce 2026.

Když se váš telefon stane součástí botnetu

Únik dat není jediné riziko. Některé bezplatné VPN slouží přímo jako nástroj kybernetické kriminality. V květnu 2024 americké ministerstvo spravedlnosti oznámilo rozbití botnetu 911 S5, sítě, která zneužívala zařízení uživatelů šesti falešných VPN aplikací (MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN a ShineVPN) jako proxy servery pro podvody, praní peněz a další trestnou činnost.

Uživatelé si stáhli bezplatnou VPN, aby chránili své soukromí. Místo toho se jejich telefony a počítače bez jejich vědomí staly součástí infrastruktury, přes kterou proudil cizí provoz. FBI dodnes provozuje návod, jak tyto aplikace identifikovat a odstranit.

Akademická studie CSIRO z roku 2016 už tehdy upozorňovala na systémová rizika Android VPN aplikací, od chybějícího šifrování přes sledovací knihovny až po malware. O osm let později se ukazuje, že se situace v segmentu čistě bezplatných aplikací nezlepšila. Spíš naopak.

Bezplatná VPN není totéž co bezplatný tarif důvěryhodné VPN

Tady je klíčové rozlišení, které většina srovnávačů ignoruje. Existuje zásadní rozdíl mezi pochybnou čistě bezplatnou aplikací bez známého vlastníka a bezplatným tarifem služby, která se živí placeným předplatným a jejíž bezpečnostní tvrzení jsou externě ověřitelná.

Kritérium	Proton VPN Free	Windscribe Free	PrivadoVPN Free
Datový limit	Neomezený	10 GB/měsíc	10 GB/měsíc
Počet zařízení	1	Neomezeně	Neomezeně
Nezávislý audit no-logs	Ano, opakovaný	Ano (aplikace + servery)	Deklarováno, silný nezávislý audit nedoložen
Jurisdikce	Švýcarsko	Kanada	Švýcarsko
České servery	Ano	Ano	Uváděno v síti
Šifrování free vs. paid	Stejné	Stejné	Deklarováno stejné

Proton VPN nabízí na bezplatném tarifu neomezená data a stejnou úroveň zabezpečení jako placená verze; omezení se týkají rychlosti, počtu zemí, streamingu a počtu zařízení. Windscribe je transparentní i v tom, co loguje: poslední aktivitu a objem přenesených dat za 30 dní, což otevřeně popisuje ve své privacy policy. PrivadoVPN deklaruje nulové logování a švýcarské právo, ale v otevřených zdrojích se nepodařilo najít srovnatelně silný nezávislý audit.

Dvě služby, které se v některých starších srovnáních objevují, je třeba vyřadit. Atlas VPN byla trvale ukončena v dubnu 2024, kdo ji má v seznamu doporučení, pracuje se zastaralými daty. A Radmin VPN je nástroj pro virtuální lokální síť a vzdálený přístup, nikoli klasická VPN pro ochranu soukromí na internetu.

Co dělat, pokud jste SuperVPN používali

Veřejně dostupné zdroje neobsahují geografický rozpad uniklých dat, takže nelze říct, kolik českých uživatelů bylo zasaženo. Při 100 milionech stažení globálně a povaze uniklých dat (IP adresy, geolokace, e-maily) je ale rozumné počítat s tím, že čeští uživatelé mezi nimi být mohli.

Praktický postup:

• Aplikaci odinstalujte a odstraňte VPN profily ze zařízení
• Zapněte dvoufaktorové ověření u všech důležitých účtů, zejména e-mailu, který jste se službou používali
• Změňte hesla tam, kde jste je recyklovali
• Počítejte se zvýšeným rizikem cíleného phishingu; útočník s vaší IP, e-mailem a geolokací dokáže sestavit přesvědčivou zprávu

Jak poznat bezpečnou bezplatnou VPN, než ji nainstalujete

Než cokoli stáhnete, projděte si jednoduchý kontrolní seznam. Má služba nezávislý audit? Je jasně popsáno, co se loguje, včetně metadat? Stojí byznys model na placeném upgradu, nebo na reklamě a prodeji dat? Je dohledatelný vlastník a jurisdikce? Nemá služba historii úniků nebo spojení s malwarem? A jde skutečně o VPN pro ochranu soukromí, ne o jiný typ nástroje?

Pokud na většinu těchto otázek nedokážete najít odpověď, je to samo o sobě odpověď. SuperVPN v Google Play vypadá důvěryhodně: sto milionů stažení, slíbená ochrana, deklarace o nesdílení dat. Jenže mezi marketingovým slibem a ověřitelným důkazem leží 360 milionů uniklých záznamů. A právě v té mezeře se rozhoduje, jestli VPN zdarma chrání vás, nebo někoho jiného.