PC Guard Bezpieczeństwo w Internecie

Pojawienie się Urban VPN jako popularnego rozszerzenia do przeglądarek wyglądało na atrakcyjne rozwiązanie dla osób dbających o prywatność. Jednak badania bezpieczeństwa z końca 2025 roku ujawniły, że Urban VPN Proxy — zainstalowany przez ponad osiem milionów użytkowników Chrome i Microsoft Edge — systematycznie zbierał wrażliwe rozmowy z systemami AI i sprzedawał te dane brokerom marketingowym, wprost przecząc obietnicy prywatności. „Darmowość” okazała się wynikiem agresywnej monetyzacji danych, architektury peer‑to‑peer narażającej użytkowników na odpowiedzialność prawną i ukrytych mechanizmów nadzoru.

Dla jasności, najważniejsze wnioski z analizy Urban VPN są następujące:

  • masowy harvesting rozmów z AI – przechwytywanie promptów, odpowiedzi i metadanych z popularnych platform;
  • architektura P2P – wykorzystywanie urządzeń użytkowników jako węzłów wyjściowych z ryzykiem wycieków i odpowiedzialności;
  • monetyzacja danych – powiązanie z BiScience i sprzedaż profili behawioralnych brokerom marketingowym;
  • zwodnicze aktualizacje i UI – autoupdate wprowadzający harvesting oraz bezużyteczny przełącznik „AI Protection”.

Afera związana z pozyskiwaniem danych przez Urban VPN i jej skala

Odkrycie ukrytego przechwytywania rozmów z AI przez Urban VPN Proxy to jedna z najpoważniejszych zdrad zaufania w historii usług VPN, dotykająca milionów użytkowników. Badacze z Koi Security wykryli mechanizm zbierający nie tylko prompty, ale również pełne odpowiedzi, znaczniki czasu, identyfikatory sesji i metadane platform.

Rozmowy były przechwytywane z wielu popularnych narzędzi AI, co najlepiej obrazuje poniższa lista:

  • ChatGPT,
  • Claude,
  • Gemini,
  • Microsoft Copilot,
  • Perplexity,
  • DeepSeek,
  • xAI Grok,
  • Meta AI.

Przechwytywanie odbywało się przez wstrzykiwanie skryptów JavaScript, nadpisywanie fetch() i XMLHttpRequest() oraz kierowanie każdego żądania i odpowiedzi przez kod rozszerzenia. Następnie dane były kompresowane i wysyłane w czasie rzeczywistym na serwery analityczne Urban VPN (np. analytics.urban-vpn.com, stats.urban-vpn.com), skąd trafiały do BiScience — brokera danych sprzedającego insighty do platform reklamowych (m.in. AdClarity, Clickstream OS).

Funkcję harvestingu dodano w wersji 5.5.0 z 9 lipca 2025 r., co oznacza, że użytkownicy po tej dacie powinni założyć przechwycenie swoich rozmów. Zbierane treści obejmowały pytania medyczne, szczegóły finansowe, fragmenty kodu, wiedzę firmową oraz intymne dylematy. Identyczny kod harvestujący odnaleziono w co najmniej siedmiu dodatkowych rozszerzeniach tego samego wydawcy (m.in. 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker), co podniosło łączną skalę do ponad ośmiu milionów instalacji.

Najbardziej zwodniczy element dotyczył przełącznika „AI Protection” — wyłączał on jedynie ostrzeżenia, nie zatrzymując faktycznego zbierania danych. Rozszerzenie aktualizowało się automatycznie, a inwazyjna wersja trafiła do użytkowników bez ostrzeżeń i bez realnej możliwości odmowy.

Zrozumienie architektury peer‑to‑peer Urban VPN i podstawowych ryzyk bezpieczeństwa

Urban VPN działa jako sieć peer‑to‑peer, a nie przez kontrolowaną, scentralizowaną infrastrukturę jak u renomowanych dostawców (np. NordVPN, ProtonVPN, Surfshark). Zamiast serwerów w centrach danych ruch użytkowników przechodzi przez urządzenia innych osób, czyniąc z nich węzły wyjściowe i udostępniając ich adresy IP.

Kluczowe ryzyka wynikające z takiego modelu są następujące:

  • brak zabezpieczeń klasy enterprise na węzłach domowych, podatnych na malware i luki,
  • wycieki DNS i niespójności trasowania, które deanonimizują odwiedzane witryny,
  • odpowiedzialność prawna za cudzy ruch przechodzący przez twój adres IP,
  • brak przejrzystości i zgody na udostępnianie zasobów urządzenia.

Wyciek DNS całkowicie niweczy sens VPN, ujawniając historię przeglądania mimo pozornego szyfrowania i anonimizacji. Najpoważniejsze konsekwencje dotyczą potencjalnych śledztw, przeszukań i kosztów prawnych, jeśli przez twój IP przejdą nielegalne treści.

Model biznesowy stojący za „darmową” usługą Urban VPN

Urban VPN należy do Urban Cyber Security Inc. i jest powiązany z BiScience (B.I Science (2009) Ltd.), brokerem danych specjalizującym się w zbieraniu i sprzedaży clickstreamu. Monetyzacja polega na pozyskiwaniu zachowań użytkowników (historia, zapytania, rozmowy z AI) i sprzedaży insightów podmiotom trzecim — nie na samej emisji reklam.

Różnicę między uczciwą monetyzacją a praktyką Urban VPN najlepiej podkreślają poniższe punkty:

  • sprzedaż powierzchni reklamowej – wyświetlanie reklam bez przekazywania szczegółowych danych o osobach;
  • sprzedaż danych i insightów – transfer realnych, granularnych informacji do brokerów w celu profilowania;
  • transparentność vs. mylące zapisy – jasne polityki prywatności kontra żargon i brak granularnych zgód;
  • freemium vs. „darmowość” za dane – finansowanie darmowego poziomu z subskrypcji kontra spieniężanie prywatności.

jeśli nie płacisz za produkt, to ty jesteś produktem

Analizy pokazały, że większość „darmowych” VPN współdzieli dane z podmiotami trzecimi, a liczne aplikacje wykazują wycieki lub zachowania zbliżone do malware.

Złośliwe mechanizmy aktualizacji i wprowadzanie w błąd w Chrome Web Store

Urban VPN wykorzystał zaufanie budowane ocenami i odznaką „Featured”, a następnie w tle wprowadził wersję 5.5.0 z harvestingiem rozmów. Domyślne autoupdaty Chrome/Edge dostarczyły złośliwą aktualizację bez powiadomień i bez możliwości weryfikacji zmian.

Najważniejsze wzorce wprowadzania w błąd zaobserwowane przez badaczy:

  • nadużycie autoupdate do włączenia ukrytych funkcji harvestingu,
  • przełącznik „AI Protection” działający wyłącznie na warstwę ostrzeżeń,
  • wielomiesięczne okno eksfiltracji danych przed ujawnieniem praktyk,
  • zewnętrzny wizerunek „polecanego” i wysoko ocenianego rozszerzenia mimo ukrytego kodu.

Ukrycie harvestingu za fasadą interfejsu to świadomy, zwodniczy wzorzec projektowy — nie przypadek.

Porównanie z rzetelnymi usługami VPN i praktykami „privacy‑first”

Renomowani dostawcy deklarują brak logów aktywności i potwierdzają to audytami, podczas gdy Urban VPN nie zapewnia żadnej z tych gwarancji. Poniższa tabela syntetycznie pokazuje kluczowe różnice:

Aspekt Urban VPN Renomowani VPN (np. ProtonVPN/NordVPN/Surfshark)
Architektura P2P przez urządzenia użytkowników Serwery zarządzane w centrach danych
Monetyzacja sprzedaż danych/insightów brokerom abonament i/lub przejrzyste freemium
Audyt i certyfikacje brak niezależnych audytów, brak SOC 2/ISO 27001 audyty zewnętrzne (np. Deloitte, KPMG), publikowane wyniki
Polityka logów niejasne zapisy, zbieranie historii/przeglądania no‑logs weryfikowane w praktyce
Jurysdykcja USA (Five Eyes) Szwajcaria/Panama/Niderlandy lub podobne
Ochrona przed wyciekami raportowane wycieki DNS pełna ochrona DNS/IPv6/WebRTC

Brak audytów i transparentności w Urban VPN uniemożliwia niezależne potwierdzenie deklaracji o szyfrowaniu czy prywatności.

Szerszy ekosystem złośliwych rozszerzeń i „wykradanie promptów”

Urban VPN wpisuje się w szersze zjawisko „prompt poaching” — przechwytywania i eksfiltracji rozmów z systemami AI. W styczniu 2026 r. wykryto kolejne złośliwe rozszerzenia z ponad 900 tys. instalacji, które eksfiltrowały treść czatów i URL-e kart Chrome.

Przykładowe obserwacje z rynku rozszerzeń przeglądarek:

  • uśpione kampanie: pozornie legalne dodatki aktywowały po czasie funkcje RCE i szpiegowskie,
  • „legalne” firmy (np. Similarweb) również zaczęły monitorować rozmowy z AI dla analityki ruchu,
  • przechwytywanie odbywa się przez nadpisywanie fetch()/XHR i scrapowanie DOM,
  • sklepy aplikacji nie nadążają z detekcją złośliwych aktualizacji.

Wspólnym mianownikiem jest wartość komercyjna danych z rozmów z AI i systemowe luki w nadzorze nad rozszerzeniami.

Zdrowotne, finansowe i korporacyjne skutki ujawnienia rozmów z AI

Harvesting rozmów dotyczy najbardziej wrażliwych sfer życia i pracy, tworząc realne ryzyko nadużyć. Dane zdrowotne, finansowe i zawodowe mogą zostać użyte do profilowania, dyskryminacji oraz przestępstw.

Obszary najwyższego ryzyka:

  • zdrowie: profilowanie medyczne, nadużycia ubezpieczeniowe, targetowanie pseudoterapii,
  • finanse: kradzież tożsamości, oszustwa, dyskryminujące decyzje kredytowe,
  • biznes i IP: wyciek kodu, strategii i wiedzy firmowej do konkurencji,
  • życie prywatne: socjotechnika, szantaż, nękanie, manipulacje.

Agregacja takich danych przez brokerów umożliwia tworzenie szczegółowych profili psychologiczno‑behawioralnych i precyzyjne oddziaływanie na użytkowników.

Otoczenie regulacyjne i skutki prawne

W USA przybywa przepisów o prywatności, a FTC egzekwuje zakazy praktyk wprowadzających w błąd. Kalifornijska DELETE Act umożliwia żądanie usunięcia danych u brokerów i nakłada obowiązek pełnej zgodności do sierpnia 2026 r.

W UE RODO wymaga wyraźnej zgody, transparentności celu i prawa do usunięcia danych. Brak afirmatywnej zgody na harvesting rozmów i brak realnej kontroli użytkownika mogą naruszać wiele wymogów RODO. Legalność VPN zależy od jurysdykcji, a w modelu P2P szczególnie niebezpieczne jest przypisanie cudzych działań do twojego adresu IP.

Kompleksowe rekomendacje dotyczące bezpiecznego wyboru i użytkowania VPN

Najważniejsza zasada: unikaj całkowicie darmowych VPN, chyba że to przejrzysty model freemium finansowany subskrypcjami. Przykładami są ProtonVPN, Windscribe i Hide.me — darmowe plany są ograniczone i mają zachęcić do wersji premium, a nie finansować się sprzedażą danych.

Przy wyborze usługi zastosuj następujące kryteria:

  • niezależne audyty – Deloitte/KPMG/PwC/EY, publicznie dostępne wyniki i weryfikacja „no‑logs”,
  • jurysdykcja – kraje o silnej ochronie danych; ostrożność wobec „Five Eyes”,
  • protokół i szyfrowanie – WireGuard/OpenVPN, AES‑256 lub ChaCha20,
  • funkcje bezpieczeństwa – automatyczny kill switch, pełna ochrona przed wyciekami DNS/IPv6/WebRTC,
  • minimalizacja danych – jasne, zwięzłe polityki: jakie dane, po co, jak długo, komu; brak niejasności.

Jeśli używałeś Urban VPN, wykonaj te kroki natychmiast:

  1. odinstaluj rozszerzenie ze wszystkich przeglądarek i urządzeń;
  2. wyczyść dane przeglądarki (historia, ciasteczka, cache, dane witryn);
  3. zmień hasła do kluczowych kont i włącz 2FA wszędzie, gdzie to możliwe;
  4. monitoruj e‑mail, bankowość, konta zdrowotne i media społecznościowe pod kątem nietypowej aktywności;
  5. przejrzyj listę zainstalowanych rozszerzeń i usuń te zbędne lub żądające nadmiernych uprawnień.

Ostrożnie instaluj rozszerzenia: weryfikuj wydawcę, reputację i zakres uprawnień — szczególnie po aktualizacjach.

Szersze implikacje dla prywatności cyfrowej i przyszłej ewolucji VPN

Afera Urban VPN obnażyła systemowe braki w weryfikacji rozszerzeń i ujawniła skalę motywacji do monetyzacji rozmów z AI. Procesy sklepu Chrome nie wykryły przez miesiące harvestingu AI, a po usunięciu rozszerzeń fundamentalne możliwości modyfikacji przeglądarki przez dodatki pozostały bez zmian.

Wraz z rosnącą popularnością narzędzi AI presja na zbieranie danych z rozmów będzie narastać, o ile nie pojawią się skuteczniejsze zabezpieczenia: granularne zgody przy aktualizacjach, mechanizmy kontroli na poziomie przeglądarki i rygorystyczne audyty. Najbezpieczniejszą strategią pozostaje wybór usług z weryfikowalnymi zobowiązaniami do prywatności, przejrzystym modelem biznesowym i gotowością do niezależnych audytów w sprzyjających jurysdykcjach.