A VPN-joghatóság megmagyarázva: 5 / 9 / 14 Eyes, a Mullvad-házkutatás és a PureVPN naplóügy
A VPN-marketing sokat foglalkozik a joghatósággal. A két legjobban dokumentált bírósági együttműködési esemény — a 2023-as Mullvad-házkutatás és a 2017-es PureVPN–FBI-együttműködés — azt mutatja, hogy az, hogy mit tárol a szolgáltató, többet számít, mint az ország zászlaja.
Mit jelent valójában az 5 / 9 / 14 Eyes
Az 5 Eyes egy jelfelderítési (signals-intelligence) megosztási megállapodás az USA, az Egyesült Királyság, Kanada, Ausztrália és Új-Zéland között, amelynek gyökerei a második világháború utáni UKUSA-megállapodásban rejlenek. A 9 Eyes hozzáadja Dániát, Franciaországot, Hollandiát és Norvégiát. A 14 Eyes hozzáadja Németországot, Belgiumot, Olaszországot, Svédországot és Spanyolországot. A VPN-marketing népszerűsítette azt az elképzelést, hogy egy bármelyik e 14 ország valamelyikében bejegyzett VPN kockázatnak van kitéve, mert a befogadó kormánya kényszeríthetné, hogy adatokat adjon át, és ezeket az adatokat megossza a szélesebb szövetséggel. Az állítás részben igaz — azoknak a kormányoknak vannak jogi keretrendszereik az adatkérésekhez —, de ez nem a teljes történet.
Hol székelnek a nagyobb auditált VPN-ek
Mullvad: Göteborg, Svédország (a 14 Eyes-ban). A NordVPN működtető entitása, a Nordvpn S.A.: Panama (az Eyes-on kívül). Proton VPN: Plan-les-Ouates, Genf, Svájc (az Eyes-on kívül; Svájc ráadásul az EU-n és az USA jogi kérelmi keretrendszerén is kívül van). Az ExpressVPN működtető entitása, az Express VPN International Ltd.: Brit Virgin-szigetek (az Eyes-on kívül). Surfshark B.V.: Hollandia (a 9 Eyes-ban). Az ötből kettő — a Mullvad és a Surfshark — Eyes-joghatóságokban van; három azon kívül. Mind az öt közzétett naplózásmentes auditokat.
A 2023-as Mullvad-házkutatás: mi történt valójában
2023. április 18-án a svéd Nemzeti Műveleti Osztály (NOA) hat tisztje érkezett a Mullvad göteborgi irodájába egy házkutatási paranccsal, azzal a szándékkal, hogy ügyféladatokat tartalmazó számítógépeket foglaljanak le. A parancsot 2023. február 17-én bocsátották ki német hatóságokkal való nemzetközi jogi együttműködés keretében. A Mullvad ugyanazon a napon nyilvánosan dokumentálta az eseményt a mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised címen. A Mullvad beszámolója és az azt követő tudósítások szerint a rendőrség semmit sem foglalt le, mert a parancs által keresett adatok nem léteztek a szervereken. A Mullvad Cure53 audittörténete (legutóbbi: a 4. infrastruktúra-audit, 2024. június) dokumentálja a naplózásmentes szerverkonfigurációt, amely ezt az eredményt produkálta. A következmény: a joghatóság számított — a házkutatás megtörtént —, de a működési magánéleti hozzáállás volt a döntő tényező.
A 2017-es PureVPN–FBI-együttműködés: a fordítottja
2017 októberében az FBI a PureVPN-től származó VPN kapcsolati naplókat használt fel Ryan Lin, egy 24 éves massachusettsi férfi azonosítására egy kiterjedt cyberstalking-ügyben. A PureVPN marketingje az ügyet megelőzően egy naplózásmentes állítást hangsúlyozott. Az FBI esküvel megerősített nyilatkozata (amelyet a DoJ-beadványokban és a bleepingcomputer.com és mások mainstream tudósításaiban idéztek) dokumentálta, hogy a PureVPN valójában kapcsolati naplókat őrzött, amelyek tartalmazták az ügyfél otthoni IP-címét a munkamenet kezdetén, és hogy ezek a naplók elegendőek voltak Lin azonosításához a VPN-munkamenetein keresztül. Az ügy a kanonikus fordított példa: egy marketingállítás, amelyet az ellentétez, hogy a szolgáltató valójában mit tárolt, és a szolgáltató joghatósága (Hongkong — az Eyes-on kívül) nem szigetelte el az adatokat, mert az adatok léteztek és egy amerikai jogi kérelemre válaszoltak.
Mit jósol meg és mit nem jósol meg a joghatóság
A joghatóság valós kockázati tényező, amikor kormányzati kérelmet nyújtanak be. Egy 14 Eyes joghatóságban működő szolgáltató, amelynek jogi együttműködési keretrendszere van a kérelmező országgal, kényszeríthető a birtokában lévő adatok átadására. De a joghatóság nem jósolja meg, hogy mit birtokol a szolgáltató. Egy naplózásmentes szolgáltatónak a 14 Eyes-ban (Mullvad) nincs mit átadnia; egy naplót őrző szolgáltatónak egy nem-Eyes joghatóságban (a PureVPN 2017 körül) van. A Mullvad és a PureVPN eseményei együtt megállapítják, hogy a prediktív változó a működési gyakorlat — audittal ellenőrizve —, nem az ország zászlaja.
Mit mérlegelj 2026-ban
Három tényező jósolja meg a valós magánéleti eredményeket megbízhatóbban, mint a joghatóság önmagában. (1) Az audit hatóköre és frissessége — a legutóbbi közzétett audit lefedi-e a szerverszintű konfigurációt, és az elmúlt 24 hónapon belül van-e? (2) Nyílt forráskódú kliensek — a desktop és mobil alkalmazások nyílt forráskódúként vannak-e közzétéve? A Mullvad és a Proton VPN egyaránt közzéteszi klienseit a GitHubon. (3) Dokumentált válasz egy valós jogi kényszerítési eseményre — a Mullvadnak van egy (a 2023-as házkutatás), a PureVPN-nek a fordítottja van (a 2017-es ügy). A legtöbb szolgáltatónak egyik sincs. Alkalmazd a joghatóságot döntetlenfeloldó tényezőként, miután az első három teljesült, ne pedig fő tényezőként.
Források
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (az eredeti UKUSA-megállapodásra való hivatkozásokkal). Mullvad 2023-as házkutatás: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad audittörténet: mullvad.net/en/blog/tag/audits. PureVPN/Lin-ügy: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-joghatóság: nordvpn.com/blog/jurisdiction. Proton VPN-joghatóság: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Minden URL elérve 2026-04-30-án.