Популярне VPN-розширення Urban VPN крало ваші приватні чати з ChatGPT, Claude та Gemini

🤔 Ви думаєте, що безкоштовний VPN захищає вашу приватність? А що, якщо саме він таємно збирає всі ваші розмови з ШІ-чатботами і продає їх? 📢 У грудні 2025 року дослідники викрили масштабний скандал, який торкнувся понад 8 мільйонів користувачів.

🚨 Спойлер: Розширення Urban VPN Proxy з липня 2025 року перехоплювало діалоги з ChatGPT, Claude, Gemini, Grok та іншими — і відправляло їх на сервери для монетизації. 🗑️ Видаліть його негайно!

📚 Зміст статті

• 📌 Що сталося: відкриття дослідників Koi Security
• 📌 Як саме працював механізм крадіжки даних
• 📌 Які розширення небезпечні та скільки користувачів постраждало
• 📌 Реакція розробників та політика конфіденційності
• 📌 Чому безкоштовні VPN часто небезпечні
• 💼 Що робити, якщо ви використовували Urban VPN
• 💼 Безпечні альтернативи VPN-розширенням
• 💼 Як захищати приватність при роботі з ШІ
• ❓ Часті питання (FAQ)
• ✅ Висновки

🎯 Розділ 1. Що сталося: відкриття дослідників Koi Security

🎭 Безкоштовний VPN, який обіцяє приватність, насправді перетворився на інструмент стеження за найособистішими розмовами з ШІ.

🔍 Дослідники з Koi Security використовували свій інструмент Wings для сканування розширень браузера на предмет витоку даних. 🕵️‍♂️ Вони очікували знайти кілька маловідомих шкідливих додатків, але натрапили на Urban VPN Proxy — розширення з позначкою «Featured» від Google, рейтингом 4.7 та мільйонами установок.

📈 Аналіз показав, що з версією 5.5.0 (9 липня 2025) розширення почало перехоплювати всі діалоги з 10 популярними ШІ-платформами. 🚀 Дані відправлялися на сервери analytics.urban-vpn.com та stats.urban-vpn.com, пов'язані з дата-брокером BiScience. 📖 Детальний звіт дослідників доступний тут.

🔍 Чому це важливо

🗣️ Розмови з ШІ часто містять конфіденційну інформацію: медичні консультації, фінансові плани, робочі ідеї чи особисті проблеми. ⚠️ Витік таких даних може призвести до шантажу, таргетованої реклами чи навіть крадіжки ідентичності.

📋 Приклад

👤 Користувач запитує в ChatGPT пораду щодо лікування хвороби або обговорює бізнес-стратегію — все це автоматично потрапляє до бази даних для продажу.

• ✅ Збір відбувався автоматично через автооновлення розширень.
• ✅ Користувачі не отримували явних попереджень про нову функцію.

Висновок: Це один з найбільших скандалів приватності 2025 року в сфері браузерних розширень (детальніше в The Hacker News та Infosecurity Magazine).

📌 Розділ 2. Як саме працював механізм крадіжки даних

🎭 Технічний трюк: розширення перевизначало стандартні функції браузера для повного контролю над трафіком ШІ, перетворюючи інструмент захисту на прихований канал витоку даних.

📥 Механізм працював наступним чином: коли користувач відкривав сайт одного з підтримувальних ШІ (ChatGPT, Claude, Gemini, Copilot, Perplexity, Grok, Meta AI тощо), розширення автоматично інжектувало спеціальний "executor"-скрипт, адаптований під конкретну платформу (наприклад, claude.js для Anthropic Claude або chatgpt.js для OpenAI).

🛠️ Цей скрипт перевизначав (override) стандартні браузерні API для мережевих запитів — fetch() та XMLHttpRequest. Завдяки цьому всі запити та відповіді між користувачем і ШІ спочатку проходили через код розширення. 🎯 Скрипт витягував:

• 📄 Повний текст запитів (промптів) користувача;
• 🤖 Повні відповіді ШІ;
• 🏷️ Метадані: timestamps, conversation ID, session ID;
• ⚙️ Інформацію про платформу та модель ШІ.

📦 Зібрані дані пакувалися, стискалися та через window.postMessage (з тегом PANELOS_MESSAGE) передавалися content script розширення, а звідти — фоновому service worker. 🚀 Останній надсилав все на віддалені сервери Urban VPN: analytics.urban-vpn.com та stats.urban-vpn.com.

⚠️ Важливо: збір працював у фоновому режимі постійно, навіть якщо VPN був вимкнений, а функція "AI Protection" (яка нібито попереджала про витік особистих даних) — деактивована. 🎭 Ця "захисна" функція лише маскувала реальну мету, показуючи спорадичні попередження, але не зупиняла передачу даних.

🔗 Детальний технічний аналіз опублікований у звіті Koi Security: 8 Million Users' AI Conversations Sold for Profit.

🔍 Чому це важливо

👁️‍🗨️ Такий механізм дозволяє збирати дані абсолютно непомітно, без сповіщень чи можливості відмови (opt-out). ⚠️ Користувачі вважали, що захищають приватність, а насправді створювали прямий канал витоку найконфіденційніших розмов до дата-брокера BiScience для подальшої монетизації.

📋 Приклад з практики

👤 Користувач відкриває claude.ai, вводить повідомлення — скрипт claude.js відразу перехоплює запит, витягує текст, чекає відповідь від сервера Anthropic, захоплює її, пакує все з timestamp та session ID, і тихо надсилає на сервери Urban VPN. 🕵️ Все відбувається в реальному часі, без жодних ознак для користувача.

• ✅ Збиралися: запити, відповіді ШІ, timestamps, session ID, модель ШІ.
• ✅ Дані стискалися та надсилалися незалежно від налаштувань розширення.
• ✅ Жодного способу вимкнути збір, окрім повного видалення розширення.

✅ На мою думку Це не випадковий баг, а навмисна вбудована функція для монетизації, додана тихо через автооновлення в липні 2025 року.

📌 Розділ 3. Які розширення небезпечні та скільки користувачів постраждало

🏢 Один видавець — Urban Cyber Security Inc. — контролює цілу сім'ю розширень з ідентичним шкідливим кодом.

🔬 Дослідники знайшли той самий механізм у кількох продуктах одного розробника. 🏅 Багато з них мали позначку «Featured» або високий рейтинг.

🔍 Чому це важливо

🛡️ Довіра до магазинів розширень підірвана: навіть "перевірені" додатки можуть ховати стеження.

📋 Приклад з практики

🚫 Urban Ad Blocker виглядає як звичайний блокувальник реклами, але краде чати з ШІ.

• 📈 Urban VPN Proxy: 6 млн+ на Chrome.
• 📈 Інші: сотні тисяч кожне, сумарно 8+ млн.

✅ Висновок: Перевірте свої розширення — видаліть усі від Urban.

📌 Розділ 4. Реакція розробників та політики конфіденційності

⚠️ Політика приховувала реальність: дані передавалися партнерам, включаючи BiScience, для комерційного використання.

💼 Компанія стверджує, що збір для "аналітики та безпеки", але дослідники вказують на відсутність реального opt-out та продаж даних.

✅ Висновок: Формальне розкриття не виправдовує обман користувачів.

📌 Розділ 5. Чому безкоштовні VPN часто небезпечні

🎯 «Якщо продукт безкоштовний — ви самі є продуктом». Ця фраза як ніколи актуальна для безкоштовних VPN-сервісів.

⚙️ Експлуатація та підтримка VPN-мережі вимагає значних витрат: сервери, пропускна здатність, розробка, технічна підтримка. 💰 Платні сервіси покривають це абонентською платою. Безкоштовні ж шукають інші джерела доходу, і найпоширеніші з них безпосередньо загрожують приватності користувачів.

📊 Основні способи монетизації безкоштовних VPN:

• 👁️‍🗨️ Продаж даних: Збір історії переглядів, запитів у пошуковиках, відвідуваних сайтів та навіть вмісту трафіку (якщо шифрування слабке). 📈 Ці дані анонімізуються частково або повністю і продаються рекламним мережам, аналітичним компаніям чи дата-брокерам (наприклад, BiScience у випадку Urban VPN).
• 📝 Логування активності: Багато сервісів заявляють «no-logs policy», але на практиці зберігають логи для подальшого продажу або передачі за запитами.
• 🪧 Інжекція реклами: Деякі безкоштовні VPN вставляють додаткову рекламу на веб-сторінки або перенаправляють трафік через партнерські мережі.
• 🤝 Партнерські програми: Передача даних третім сторонам за комісію, включаючи таргетовану рекламу на основі поведінки користувача.
• ⚠️ Шкідливий код: У крайніх випадках — встановлення трекерів, майнерів криптовалюти або навіть малварі.

Історія знає десятки прикладів ⚠️

2015–2018 роки — Hola VPN продавав пропускну здатність користувачів для створення ботнету (Hola / Luminati):

Hola VPN працював як p2p‑сервіс, де трафік користувачів і їх пропускна здатність перепродавалися через мережу Luminati (тепер Bright Data), що дозволяло використовувати ці вузли подібно до ботнету для DDoS‑атак та масового трафіку до вебсайтів, включно з 4chan/8chan.Це супроводжувалося відсутністю повноцінного шифрування, витоками IP‑адрес та низкою технічних вразливостей у клієнті Hola

ZDNet: Researchers slam Hola VPN over absent encryption, user IP leaks

Bitdefender: Hola VPN allegedly used in DDoS against 4Chan

Kaspersky: Misadventures with Hola service

2023–2025 роки — мільярди встановлень безплатних Android‑VPN, що передають дані до Китаю:

Огляди TechRadar та інших видань показують, що десятки популярних безплатних VPN‑додатків для Android (Turbo VPN, VPN Proxy Master, Solo VPN тощо), пов’язані з китайськими компаніями, збирали широкі масиви даних користувачів і могли передавати їх на сервери в Китаї.У сукупності мова йде про понад 2.5 млрд встановлень таких додатків за останні роки, що формує системний ризик для приватності.

TechRadar: Millions of free VPN users have inadvertently sent their data to China

2023 рік — витік даних SuperVPN та збір логів безплатними VPN‑розширеннями (SuperVPN, Betternet тощо):

У 2023 році дослідники vpnMentor виявили незахищену базу даних без пароля, що належала безплатному VPN‑сервісу (SuperVPN та пов’язаним додаткам), де було відкрито понад 360 млн записів із адресами електронної пошти, реальними IP, геолокацією, інформацією про пристрої та іншими метаданими трафіку. Попри маркетинг «no‑logs», подальші огляди SuperVPN, Betternet та інших безплатних VPN‑розширень для Chrome демонструють агресивний збір даних користувачів, що потенційно може монетизуватися через продаж третім сторонам.

VPNMentor: Free VPN data breach exposed 360 million records online

2025 рік — Urban VPN почав збирати розмови з ШІ (ChatGPT, Claude, Gemini, Copilot, Perplexity тощо):

Згідно з розслідуванням Koi Security, у версії 5.5.0 розширення Urban VPN Proxy для Chrome/Edge (реліз 9 липня 2025 року) було додано приховану функціональність перехоплення повних розмов користувачів з основними ШІ‑чатами (промпти, відповіді, ідентифікатори сесій, мітки часу, метадані).Ці дані автоматично відправлялися на сервери Urban VPN (зокрема analytics.urban-vpn.com та stats.urban-vpn.com) незалежно від того, чи був VPN активований, після чого використовувалися й продавалися як «маркетингові аналітики» для третіх сторін

Koi Security: Urban VPN browser extension harvesting AI conversations

Infosecurity Magazine: Urban VPN Proxy accused of harvesting AI chats

⚠️ Додаткова проблема — відсутність незалежного аудиту. 🧾 Платні сервіси на кшталт ExpressVPN, Mullvad чи ProtonVPN регулярно проходять перевірку третіми сторонами (наприклад, PwC, Cure53), що підтверджує їхню no-logs політику. ❌ Безкоштовні VPN майже ніколи не мають такого аудиту, а їхні заяви про конфіденційність залишаються лише словами.

🔍 Чому це важливо на мою думку

🛡️ Користувачі встановлюють VPN саме для захисту приватності, але з безкоштовними сервісами часто отримують зворотний ефект: замість анонімності — повне стеження. 👁️ Особливо небезпечно, коли збираються не просто URL, а вміст розмов, медичні чи фінансові запити.

📋 Приклад з практики

📱 Користувач встановлює безкоштовний VPN, щоб обійти блокування та захистити дані в громадському Wi-Fi. 💸 Натомість сервіс фіксує всі його банківські транзакції чи листування і продає профіль рекламодавцям, які потім пропонують «персоналізовані» кредити чи страховки.

• ⚠️ Безкоштовні VPN часто базуються в юрисдикціях зі слабким захистом даних (14 Eyes тощо).
• ⚠️ Оновлення політики конфіденційності можуть відбуватися тихо, без згоди користувача.
• ⚠️ Відсутність прозорості: неможливо перевірити, що саме робить додаток з вашим трафіком.

✅ Висновок розділу: Платні VPN з незалежним аудитом та прозорою політикою — єдиний надійний вибір для тих, хто справді цінує приватність. 💸 Безкоштовні альтернативи майже завжди мають приховану ціну, і ця ціна — ваші дані.

💼 Розділ 6. Що робити, якщо ви використовували Urban VPN

🗑️ Єдиний надійний спосіб зупинити збір даних — повне видалення розширень. Дані вже можуть бути передані третім сторонам.

📅 Станом на грудень 2025 року розширення Urban VPN все ще доступні в Chrome Web Store та Microsoft Edge Add-ons, тому не чекайте на реакцію магазинів — дійте самостійно.

✅ Покрокова інструкція з видалення (для Google Chrome та Microsoft Edge):

1. 🔍 Відкрийте браузер і перейдіть за адресою chrome://extensions/ (або edge://extensions/ для Edge).
2. 🎯 Знайдіть у списку розширення з назвою "Urban VPN", "1ClickVPN", "Urban Ad Blocker", "Urban Browser Guard" або будь-які інші від видавця Urban Cyber Security Inc..
3. 🗑️ Натисніть "Видалити" (Remove) для кожного з них і підтвердіть дію.
4. 🧹 Після видалення очистіть кеш браузера: Налаштування → Конфіденційність і безпека → Очистити дані перегляду → Виберіть "Кешовані зображення та файли" → Очистити.
5. 🔄 Перезапустіть браузер.

🛡️ Додаткові заходи безпеки:

• 🔐 Змініть паролі на всіх важливих акаунтах (банки, email, ШІ-сервіси), якщо ви обговорювали їх у чатах.
• ✅ Увімкніть двофакторну аутентифікацію (2FA) скрізь, де можливо.
• 🧹 Видаліть історію чатів у ChatGPT, Claude, Gemini тощо (деякі сервіси дозволяють це зробити в налаштуваннях).
• ⚙️ Розгляньте скидання налаштувань браузера до стандартних, якщо ви підозрюєте глибоку інтеграцію.

🔍 Чому це важливо

📡 Збір даних тривав місяці, і зібрана інформація вже могла бути продана дата-брокерам. ⏰ Швидкі дії мінімізують подальші ризики: таргетовану рекламу, фішинг чи навіть шантаж на основі конфіденційних розмов.

📋 Приклад з практики

👤 Користувач, який обговорював у Claude ідею бізнесу чи медичні симптоми в ChatGPT, тепер ризикує, що ця інформація потрапить до рекламних мереж або зловмисників.

• ✅ Видалення зупиняє подальший збір у цьому браузері.
• ✅ Очищення кешу видаляє залишки скриптів.
• ✅ Зміна паролів захищає від можливих витоків.

💡 На мою думку Дійте негайно та системно — дані вже можуть бути продані, але ви можете запобігти новим витокам і захистити себе надалі.

💼 Розділ 7. Безпечні альтернативи VPN-розширенням

💡 Краще платити за справжню приватність, ніж "платити" своїми данами безкоштовним сервісам.

📋 У 2025 році лідери ринку пройшли численні незалежні аудити (Deloitte, PwC, Securitum тощо), підтвердивши, що не зберігають логи активності. 🏆 Ось топ-рекомендації:

• NordVPN: Найкращий баланс швидкості, безпеки та функцій. Чотири аудити no-logs у 2025 році, RAM-сервери, Double VPN.
• ExpressVPN: Преміум-варіант з найпростішим інтерфейсом. Понад 19 аудитів, Lightway-протокол, базується в BVI.
• Mullvad: Максимальна анонімність — анонімна реєстрація, оплата готівкою чи Monero, фіксована ціна €5/міс, RAM-сервери.
• ProtonVPN: Безкоштовний план з аудитом no-logs (2025 рік, Securitum), необмежений трафік, open-source додатки. Платний — для швидкості та стримінгу.
• Surfshark: Необмежена кількість пристроїв, низька ціна, аудитовані RAM-сервери, CleanWeb (блокування реклами).

🌐 Для браузера:

• 🔧 Офіційні proxy-розширення від NordVPN, ExpressVPN чи ProtonVPN (вони керують тільки браузерним трафіком).
• 🛡️ Або повний VPN-додаток — захищає весь пристрій.
• 🚫 Для блокування реклами/трекерів — uBlock Origin (без VPN-функцій, але безпечний).

🔍 Чому це важливо

✅ Ці сервіси доведено не збирають дані, мають прозорі політики та регулярно перевіряються. 💰 На відміну від безкоштовних, їхній бізнес-модель — абонплата, а не продаж ваших даних.

📋 Приклад з практики

👤 Користувач переходить на Mullvad: реєструється анонімно, платить Monero — жодних слідів. ⚡ Або ProtonVPN Free: повна приватність без оплати, але з обмеженою швидкістю.

• ✅ Всі рекомендовані — з аудитом no-logs 2024–2025 років.
• ✅ RAM-сервери: дані стираються при перезавантаженні.
• ✅ Юрисдикції поза 14 Eyes (Panama, BVI, Switzerland).

✅ Висновок розділу: Оберіть VPN з доведеною репутацією та аудитами — це інвестиція в реальну приватність, а не в ілюзію.

📚 Для глибшого розуміння тем приватності, AI та технологій, рекомендую ознайомитися з цими матеріалами:

🔗 Як AI-платформи вибирають джерела для відповідей в 2025-2026 — дізнайтеся про алгоритми відбору інформації для AI-пошуку.

🤖 Як працює краулинг в епоху AI — розберіться, як боти збирають дані для навчання великих мовних моделей.

🕵️ Що таке Browser Fingerprint: повний гід по цифрових відбитках браузера — зрозумійте, як вас можуть відстежувати онлайн.

🌐 Як працює VPN: чому він переносить вас в іншу країну — отримайте чітке пояснення принципів роботи віртуальних приватних мереж.

💼 Розділ 8. Як захищати приватність при роботі з ШІ

🔒 Приватність при роботі з ШІ — це ваша особиста відповідальність. Жоден сервіс не захищає вас на 100 %, якщо ви самі не дбаєте про це.

🤖 Робота з ШІ-чатботами стала частиною повсякденного життя, але більшість популярних платформ (ChatGPT, Claude, Gemini тощо) збирають ваші запити для навчання моделей, аналітики чи навіть маркетингу. ⚠️ Після скандалу з Urban VPN стало зрозуміло: навіть сторонні інструменти можуть отримати доступ до цих розмов. 💡 Ось комплекс практичних кроків для максимального захисту.

✅ Основні рекомендації:

• 💻 Використовуйте локальні ШІ-моделі. Найбезпечніший варіант — запускати моделі на своєму комп’ютері. Програми на кшталт Ollama, LM Studio, GPT4All чи Jan.ai дозволяють працювати з Llama 3, Mistral, Gemma тощо без передачі даних в інтернет.
• 🌐 Окремий браузер або профіль. Створіть окремий профіль у Chrome/Edge/Firefox виключно для роботи з ШІ або використовуйте інкогніто-режим. Не встановлюйте в нього жодних розширень.
• 🔌 Мінімізуйте розширення. Регулярно переглядайте список встановлених розширень (chrome://extensions/) і видаляйте все, що не використовується щодня. Особливо уникайте VPN, блокувальників реклами чи «прискорювачів» від невідомих видавців.
• 🚫 Не вводьте конфіденційні дані. Ніколи не пишіть у чати ПІН-коди, паролі, номери карт, медичні діагнози з особистими деталями чи комерційну таємницю. Якщо потрібно — анонімізуйте інформацію (замініть реальні імена, дати тощо).
• 🔐 Вмикайте додатковий захист акаунтів. 2FA (двофакторна аутентифікація) на всіх сервісах ШІ, використання менеджера паролів (Bitwarden, 1Password, KeePass).
• 🧹 Обмежуйте історію та пам’ять. У ChatGPT вимкніть «Memory», у Claude — «Projects» з збереженням контексту, у Gemini — «Activity». Регулярно видаляйте старі чати.
• 🕵️ Використовуйте приватні альтернативи. Сервіси на кшталт Poe.com (з опцією приватних ботів), You.com чи Perplexity з режимом «Private» менш агресивно збирають дані, ніж основні гіганти.
• 🚧 Блокуйте трекери. Встановіть перевірені розширення: uBlock Origin, ClearURLs, Privacy Badger — вони блокують більшість аналітичних скриптів.

🔍 Чому це важливо

👤 Ваші розмови з ШІ — це детальний цифровий портрет: інтереси, проблеми, плани, здоров’я, фінанси. ⚔️ У руках зловмисників чи маркетологів така інформація стає потужною зброєю для маніпуляцій, шантажу чи таргетованої реклами.

📋 Приклад з практики

💡 Розробник обговорює в ChatGPT ідею стартапу з детальним бізнес-планом. 🕳️ Через витік (наприклад, Urban VPN) ця інформація потрапляє до дата-брокера, а за місяць конкуренти запускають схожий продукт з «дивовижною» швидкістю.

• ✅ Локальні моделі = 100 % контроль над даними.
• ✅ Окремий профіль = ізоляція від основної активності.
• ✅ Анонімізація = навіть при витоку дані не пов’язані з вами.

✅ Висновок розділу: Комбінація технічних інструментів (локальні ШІ, чистий браузер) та свідомої поведінки (анонімізація, мінімізація даних) — єдиний надійний ключ до збереження приватності при роботі з сучасними ШІ.

❓ Часті питання (FAQ)

⚠️ Чи безпечно зараз використовувати Urban VPN?

❌ Ні, абсолютно небезпечно. Навіть після скандалу розширення може продовжувати збирати дані. 🗑️ Видаліть його негайно разом з усіма продуктами від Urban Cyber Security Inc. та вважайте всі чати з ШІ після липня 2025 потенційно скомпрометованими.

🤖 Які ШІ-платформи постраждали від витоку?

📄 ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Microsoft Copilot, Grok (xAI), Perplexity, DeepSeek, Meta AI, Poe та більшість інших популярних веб-чатботів на базі JavaScript.

🛒 Чи видалили розширення з Chrome Web Store та Microsoft Edge Add-ons?

⏳ Станом на 17 грудня 2025 року — ще ні. Google та Microsoft зазвичай реагують на такі скандали з затримкою. 🚨 Не чекайте офіційного видалення — видаліть розширення самостійно якомога швидше.

🧹 Чи можна видалити або відновити свої зібрані дані?

😔 На жаль, ні. Дані вже передані на сервери Urban VPN та партнеру BiScience, а далі — третім сторонам. 🔒 Немає механізму запиту на видалення. Єдине, що можна зробити — захистити себе надалі.

📱 Чи торкнувся витік мобільних додатків ШІ?

✅ Ні, механізм працював тільки в браузерних розширеннях. Мобільні додатки ChatGPT, Claude тощо не постраждали від цього конкретного витоку.

⸻

✅ Висновки

• 🚨 Urban VPN та подібні розширення перетворили обіцянку приватності на інструмент масового збору та продажу найособистіших розмов мільйонів користувачів.
• 💰 Безкоштовні VPN майже завжди мають приховану ціну — ваші дані, і цей скандал став черговим підтвердженням.
• 🔍 Перевірте свій браузер, видаліть підозрілі розширення, перейдіть на локальні ШІ та платні перевірені VPN.
• 🛡️ Приватність у 2025 році вимагає активних дій: мінімізації даних, обережності та використання надійних інструментів.

💭 Я думаю:

Що у світі, де ШІ стає все потужнішим, наша приватність стає все крихкішою. Довіряйте лише перевіреним сервісам, завжди перевіряйте, що встановлюєте, і пам’ятайте: найкращий захист — це ваша власна обачність.

Цю статтю підготував засновник і лідер компанії з 8-річним досвідом у веброзробці — Вадім Харов'юк.