Tillbaka till Bulletin Board
VPN-bluffet: Hvem ejer egentlig din "sikre" forbindelse?
Säkerhet 13 min lasning

VPN-bluffet: Hvem ejer egentlig din "sikre" forbindelse?

Du betaler for VPN for at beskytte dit privatliv. Men virksomheden bag kan ejes af en dømt bedrager, en kinesisk militærvirksomhed eller et gammelt adware-selskab. Her er hele sandheden om VPN-industriens skjulte ejere.

Emma Bergqvist

Emma Bergqvist

17 februari 2026

508 visningar
VPNintegritetsäkerhetKape TechnologiesMullvadPirate Bayövervakningutvald

Du betaler for en VPN-tjeneste for at beskytte dit privatliv. Du stoler på, at ingen kan se, hvad du laver online. Men hvad sker der, hvis virksomheden bag din VPN har en fortid med at sprede adware, ejes af en dømt bedrager eller i sidste ende kontrolleres af en fremmed statsmagt? Velkommen til VPN-industriens mørkeste hemmeligheder.

Denne artikel bygger på verificerbare fakta, navngivne kilder og offentlige dokumenter. Alt, hvad jeg påstår, kan du selv kontrollere. Jeg har fulgt ejerkæder, gravet i selskabsregistre og læst retsdokumenter. Det, jeg fandt, er værre, end jeg troede.

Det begyndte med The Pirate Bay

For at forstå, hvorfor millioner af svenskere i dag bruger VPN, må vi tilbage til 2006. Den 31. maj stormer 65 svenske politifolk et datacenter i Stockholm og beslaglægger The Pirate Bays servere. Aktionen sker efter intenst pres fra USA's ambassade i Stockholm, noget, der senere blev bekræftet af hemmelige amerikanske ambassadetelegrammer, som blev lækket via WikiLeaks. Ambassaden beskrev aktionen som "en betydelig sejr" for deres arbejde med immaterialret i Sverige.

Men det var retssagen i 2009, der for alvor fik folk til at reagere. Byrettens formand Tomas Norström idømte de fire tiltalte fængsel og erstatning. Kort efter dommen afslørede Sveriges Radios P3 Nyheter, at Norström var bestyrelsesmedlem i Svenska Föreningen för Upphovsrätt (SFU) og Svenska Föreningen för Industriellt Rättsskydd (SFIR). De samme organisationer, hvor sagsøgersidens advokater sad: Henrik Pontén fra Antipiratbyrån, Monique Wadsted, som repræsenterede filmindustrien, og Peter Danowsky fra IFPI.

Dommeren sad altså i de samme interesseorganisationer som de advokater, han burde have været neutral over for. Trods dette afgjorde Svea hovrätt i juni 2009, at Norström ikke var inhabil – men kritiserede ham for ikke at have oplyst om sine engagementer inden retssagen. Det pikante: under udvælgelsen af domsmænd havde Norström selv afvist en person netop på grund af dennes forbindelser til ophavsretsorganisationer.

At Svea hovrätt valgte ikke at omstøde dommen trods disse forbindelser blottede noget dybere: en grundlæggende mangel i den svenske retssikkerhed. I de fleste retssystemer ville en dommer med dokumenterede bånd til sagsøgersidens organisationer være blevet diskvalificeret automatisk. I Sverige var det ikke nok. Hovrättens ræsonnement – at forbindelserne ganske vist var uhensigtsmæssige, men ikke tilstrækkelige til at udgøre inhabilitet – satte en skræmmende præcedens. Hvis en dommer kan sidde i de samme lobbygrupper som modpartens advokater uden konsekvenser, hvor går grænsen så? Spørgsmålet er stadig ubesvaret. Der er ikke gennemført nogen politiske reformer for at styrke inhabilitetsreglerne siden da. Retssikkerheden i teknologirelaterede sager forbliver et uløst problem, som de svenske politikere virker fuldstændig uinteresserede i at tage fat på.

Det slutter ikke der. Efterforskeren i sagen, politimanden Jim Keyzer, forlod politiet kort efter, at efterforskningen blev afsluttet i 2008 – for at begynde at arbejde hos Warner Brothers, et af de filmselskaber, der var sagsøger. Ifølge Sydsvenskan var Keyzer allerede begyndt at arbejde for studiet, mens efterforskningen stadig var i gang.

Retssagen rystede tilliden til retsvæsenet blandt teknologiinteresserede svenskere. Følelsen var tydelig: mægtige udenlandske interesser kunne påvirke en svensk retsproces. Løsningen for mange? Skaffe sig en VPN. Ingen ville kunne se, hvad de lavede online igen. Men det var præcis det, der var problemet.

Kape Technologies: Fra adware til VPN-imperium

Lad os tale om virksomheden, der i dag ejer fire af verdens mest populære VPN-tjenester: ExpressVPN, CyberGhost, Private Internet Access (PIA) og ZenMate. Virksomheden hedder Kape Technologies. Men frem til marts 2018 hed den Crossrider.

Crossrider var berygtet i sikkerhedsbranchen. Virksomheden udviklede værktøjer til at lave browserudvidelser, der injicerede reklamer på de websider, brugerne besøgte – klassisk adware. En fælles undersøgelse fra University of California Berkeley og Google identificerede Crossrider i 2015 som en af de største distributører af annonceinjektorer, herunder den berygtede SuperFish.

Virksomheden skiftede navn til Kape Technologies i 2018 netop for at slippe væk fra denne baggrund. Med deres egne ord: på grund af "den stærke association til virksomhedens tidligere aktivitet". Siden da har de opkøbt VPN-tjenester i rasende tempo:

  • 2017: CyberGhost VPN – cirka 10 millioner dollar

  • 2018: ZenMate VPN – cirka 5 millioner dollar

  • 2019: Private Internet Access (PIA) – 127 millioner dollar

  • 2021: ExpressVPN – 936 millioner dollar

Men Kape købte ikke kun VPN-tjenester. I marts 2021 overtog de Webselenese – moderselskabet bag vpnMentor og Wizcase, to af verdens største VPN-anmeldelsessider – for 149 millioner dollar. En virksomhed, der sælger VPN, ejer altså de sider, der anmelder VPN. Gæt, hvilke tjenester der pludselig endte øverst i ratingerne?

Efter overtagelsen forsvandt NordVPN og Surfshark fra topplaceringerne på vpnMentor. I stedet kravlede CyberGhost og Private Internet Access op på plads 2 og 3. Ordet "Kape" nævnes ingen steder på produktsiderne. Deres oplysning om ejerskab er begravet i fodnoter, som langt de fleste besøgende aldrig ser.

Manden bag kulisserne: Teddy Sagi

Kape Technologies ejes af Unikmind, et holdingselskab, hvis eneste ejer er den israelsk-cypriotiske milliardær Teddy Sagi. Forbes vurderer hans formue til 7,1 milliarder dollar – Israels fjerde rigeste person. I 1996 blev Sagi dømt i Israel for bedrageri og bestikkelse efter at have manipuleret prisen på statsobligationer ved en auktion hos Israels centralbank. Han købte obligationer til en værdi af 20 millioner shekel og fik deres værdi til at stige 6 % i løbet af minutter gennem utilbørlig påvirkning. Han blev idømt ni måneders fængsel.

Efter afsonet straf grundlagde Sagi blandt andet Playtech, en af verdens største leverandører af software til onlinespil. Han er også blevet sat i forbindelse med 16 offshore-selskaber via Panama Papers. Det er denne person, der i sidste ende kontrollerer din "sikre" VPN-forbindelse, hvis du bruger ExpressVPN, CyberGhost, PIA eller ZenMate.

ExpressVPN og spionprogrammet, der hackede journalister

I 2021 blev det afsløret, at ExpressVPN's daværende CIO (Chief Information Officer) Daniel Gericke var en af tre tidligere amerikanske efterretningsagenter, der deltog i Project Raven – et hemmeligt overvågningsprogram drevet for De Forenede Arabiske Emiraters monarki. Projektet udviklede et hackingværktøj kaldet Karma, der kunne overtage mobiltelefoner uden brugerinteraktion.

Karma blev brugt til at hacke menneskerettighedsaktivister, journalister og rivaliserende regeringer. Gericke indgik en forligsaftale (Deferred Prosecution Agreement) med USA's justitsministerium og blev idømt en bøde på 335.000 dollar. ExpressVPN indrømmede, at de kendte til Gerickes baggrund, men beholdt ham alligevel. Edward Snowden satte offentligt spørgsmålstegn ved, hvordan en VPN-virksomhed kunne ansætte en person med den baggrund.

Det er denne virksomhed, som millioner af mennesker betror deres mest private internettrafik.

Facebook og VPN-fælden: Project Ghostbusters

VPN-misbrug kommer ikke kun fra obskure virksomheder. I 2013 købte Facebook den israelske startup Onavo for 120 millioner dollar. Onavo blev markedsført som et "databesparende" og privatlivsfokuseret værktøj. I virkeligheden gav installationen Facebook fuld adgang til brugernes digitale aktivitet – browserhistorik, appforbrug og tidsstempler blev indsamlet i det skjulte.

I 2016 lancerede Facebook internt "Project Ghostbusters" – et hemmeligt projekt for at aflytte og dekryptere netværkstrafikken mellem Snapchat-brugere og Snapchats servere. Mark Zuckerberg skrev i en e-mail, at eftersom Snapchats trafik var krypteret, havde Facebook "ingen analytics om dem" og instruerede sine chefer i at "finde en ny måde at få pålidelig analytics på". Løsningen? Onavos VPN-teknologi, der udførte SSL man-in-the-middle-angreb.

Samme metode blev senere rettet mod YouTube og Amazon. I 2019 afslørede TechCrunch, at Facebook desuden havde betalt teenagere – nogle helt ned til 13 år – op til 20 dollar om måneden for at installere Onavo, hvilket gav Facebook fuld adgang til al deres webaktivitet. Facebook lukkede Onavo ned, men startede øjeblikkeligt et nyt program under navnet "Facebook Research", internt kaldet Project Atlas, med samme funktion.

Det kinesiske militær i din VPN-app

I 2019 afslørede en undersøgelse fra VPNpro, at næsten en tredjedel af verdens mest populære VPN-tjenester i hemmelighed var ejet af kinesiske virksomheder. I alt blev der identificeret 105 VPN-produkter, som blev drevet af blot 24 virksomheder – og ejerstrukturerne var bevidst skjult bag lag af skuffeselskaber.

Den kinesiske virksomhed Innovative Connecting ejer i hemmelighed mindst 10 VPN-produkter med i alt 86 millioner installationer, deriblandt Turbo VPN og Snap VPN. Ejeren? Lemon Seed Technology Ltd, registreret på Caymanøerne, som igen blev overtaget af Qihoo 360 – en virksomhed, der af USA's handelsministerium er blevet opført som en "kinesisk militærvirksomhed" og sanktioneret i juni 2020 af sikkerhedshensyn.

I 2020 blev bekymringerne bekræftet, da syv VPN-tjenester baseret i Hongkong – UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN og Rabbit VPN – lækkede 1,2 terabyte data fra over 20 millioner brugere. Samtlige delte den samme infrastruktur. Dataene lå åbent tilgængelige på en usikret Elasticsearch-server og indeholdt: navne, e-mailadresser, hjemmeadresser, adgangskoder i klartekst, Bitcoin- og PayPal-betalingsoplysninger, besøgte websteder og forbindelseslogfiler. Alle syv tjenester havde "streng no-log-politik" i deres vilkår.

Den ubehagelige konklusion: et perfekt overvågningsnet

Her vil jeg bede dig om at stoppe op og se helheden. Tænk følgende kæde igennem:

  1. 2006: Mægtige interesser lægger pres på og får Sverige til at slå ned på fildeling. Dommeren i retssagen sidder i de samme organisationer som anklagersidens advokater. Politiefterforskeren går direkte til et af de klagende filmselskaber.

  2. Millioner af mennesker, ikke kun i Sverige, men globalt, mister tilliden og skaffer sig en VPN for at "beskytte sig".

  3. VPN-industrien eksploderer. Hundredvis af tjenester dukker op, markedsført som "no-log" og "anonyme".

  4. Bag kulisserne ejes disse tjenester af virksomheder med forbindelser til Israel, Kina, Rusland og USA – ofte gennem lag af skuffeselskaber, der gør det umuligt at se, hvem der faktisk kontrollerer serverne.

  5. Selv de sider, der skal granske og anmelde VPN-tjenesterne, ejes af de samme virksomheder, der sælger dem.

Resultatet? I stedet for at din internettrafik går direkte fra dig til websteder – hvor den beskyttes af HTTPS-kryptering – kanaliserer du frivilligt ALT gennem servere, der kontrolleres af virksomheder, du ikke ved noget om. Du har i praksis udskiftet din internetudbyder (som er underlagt svensk lovgivning) med en udenlandsk virksomhed, der måske ikke er underlagt nogen lovgivning overhovedet.

Jeg siger ikke, at dette nødvendigvis var en bevidst strategi fra dag ét. Men hvis en efterretningstjeneste ville designe et system til masseovervågning af internetbrugere, der aktivt forsøger at undgå overvågning – ja, så ville det se nøjagtigt sådan ud.

Anmeldelsessiderne: Ulvene vogter fårene

"Men jeg tjekkede anmeldelser, før jeg valgte VPN!" Ja, det er præcis det, de regner med. Kape Technologies ejer vpnMentor (cirka 3,5 millioner besøgende om måneden) og Wizcase (cirka 3,3 millioner besøgende om måneden) via datterselskabet Webselenese, baseret i Tel Aviv. Overtagelsen kostede 149 millioner dollar – mere end det, Kape betalte for CyberGhost, ZenMate og PIA tilsammen.

Det fortæller alt, hvad du behøver at vide om, hvad disse sider egentlig er værd for Kape: ikke granskningsværktøjer, men markedsføringskanaler. Når du "sammenligner" VPN-tjenester på vpnMentor, sammenligner du i praksis produkter, der alle ejes af den samme virksomhed.

Og det er ikke kun Kape. VPN-branchen mangler fuldstændig regulering og uafhængig granskning. YouTubere, der anbefaler VPN-tjenester, får ofte tusindvis af dollar pr. video i sponsorpenge – uden at nævne ejerstrukturerne bag de tjenester, de markedsfører. TechRadar har rapporteret om, hvordan influenceres VPN-kampagner i sig selv kan udgøre en sikkerhedsrisiko.

NordVPN og Surfshark: Samme ejer, forskellige varemærker

NordVPN, formentlig den mest kendte VPN-tjeneste takket være aggressiv YouTube-markedsføring, og Surfshark fusionerede i 2022 under moderselskabet Cyberspace BV. De ejes igen af Nord Security, grundlagt i Litauen. Historisk har NordVPN været sat i forbindelse med Tesonet, en litauisk teknologivirksomhed, og er blevet registreret via Tefincom S.A. i Panama.

NordVPN og Surfshark hævder, at de er uafhængige og har gennemgået eksterne revisioner af PricewaterhouseCoopers. Men faktum består: to af de mest populære "alternative" VPN-valg er den samme virksomhed. Illusionen om konkurrence og valgfrihed opretholdes gennem separate varemærker.

Ejerkortet: Hvem kontrollerer hvad?

Her er en oversigt over de største VPN-tjenester og deres faktiske ejere, baseret på offentlige selskabsoplysninger:

Kape Technologies (Israel/Cypern, via Teddy Sagi): ExpressVPN, CyberGhost, Private Internet Access, ZenMate. Plus anmeldelsessiderne vpnMentor og Wizcase.

Nord Security / Cyberspace BV (Litauen/Nederlandene): NordVPN, Surfshark, Atlas VPN.

Aura/Pango (Israel/USA): Hotspot Shield, Betternet, Touch VPN, VPN360.

Innovative Connecting / Qihoo 360 (Kina, via Caymanøerne): Turbo VPN, Snap VPN, VPN Proxy Master, og mindst syv andre apps med 86 millioner installationer i alt. Qihoo 360 er blevet opført som kinesisk militærvirksomhed af USA's handelsministerium.

Gaditek (Pakistan): PureVPN.

Bemærk mønstret: de fleste populære VPN-tjenester kan spores tilbage til Israel, Kina, Litauen eller USA. Transparensen varierer enormt – nogle er helt åbne om deres ejerskab, andre gemmer sig bag skuffeselskaber på Caymanøerne, i Panama eller på De Britiske Jomfruøer.

Undtagelsen: Mullvad VPN

Jeg vil være tydelig: denne artikel er ikke reklame for nogen VPN. Men under researchen var det umuligt ikke at bemærke en undtagelse. Mullvad VPN AB, baseret i Göteborg, ejes 100 % af grundlæggerne Fredrik Strömberg og Daniel Berntsson via moderselskabet Amagicom AB. Ingen holdingselskaber, ingen skuffeselskaber, ingen udenlandske investorer.

Mullvad har gennemgået uafhængige sikkerhedsrevisioner af blandt andet Cure53 og NCC Group. Men det mest sigende bevis kom den 18. april 2023, da det svenske politis Nationella operativa avdelning (NOA) gennemførte en ransagning på Mullvads kontor i Göteborg med en ransagningskendelse for at beslaglægge computere med kundedata. Mullvad kunne påvise, at der i overensstemmelse med deres politik ikke eksisterede sådanne data. Politiet forlod stedet uden at beslaglægge noget som helst.

Mullvad accepterer kontant betaling pr. post, kræver ingen e-mail ved registrering og offentliggør sin kildekode åbent. Deres forretningsmodel er den enklest tænkelige: 5 euro om måneden, ingen rabat for længere perioder, ingen "Black Friday-deals". De bruger stort set nul på markedsføring. Det er i sig selv et signal – virksomheder, der ikke behøver at sælge hårdt, har som regel intet at skjule.

Har du overhovedet brug for en VPN?

Det er spørgsmålet, som VPN-industrien absolut ikke vil have, at du stiller. I de fleste hverdagssituationer: nej, formentlig ikke. Siden HTTPS blev standard på stort set alle websteder (det grønne hængelåsikon), er din trafik allerede krypteret. Din internetudbyder kan se, hvilke domæner du besøger, men ikke hvad du laver på dem.

En VPN kan være berettiget, hvis du:

  • Befinder dig på et åbent wifi-netværk (café, lufthavn, hotel)

  • Bor i et land med internetcensur

  • Er journalist, aktivist eller whistleblower med reelle trusler mod dig

  • Vil have adgang til geoblokeret indhold (streaming fra andre lande)

Men til almindelig surfing, e-mail og sociale medier? Du udskifter i praksis én overvåger (din ISP, som er underlagt svensk lov) med en anden (en VPN-virksomhed, som måske er underlagt nul love). Det er ikke automatisk en forbedring.

Hvad du kan gøre

Hvis du alligevel vil bruge VPN, så kontrollér i det mindste disse ting:

  1. Hvem ejer virksomheden? Følg ejerkæden hele vejen. Hvis den ender i et skuffeselskab på Caymanøerne – løb.

  2. Hvor ligger serverne? Hvis svaret er "det kan vi ikke fortælle", har du allerede dit svar.

  3. Har de gennemgået uafhængige revisioner? Ikke selvrapporterede, men af tredjepartsvirksomheder som Cure53, NCC Group eller PricewaterhouseCoopers.

  4. Hvem anmelder dem? Hvis anmeldelsessiden ejes af en VPN-virksomhed, er den ikke uafhængig.

  5. Er koden åben? Open source-klienter betyder, at uafhængige forskere kan granske koden.

Og vigtigst af alt: vær skeptisk. Ikke paranoid, men skeptisk. Hvis en virksomhed bruger millioner på YouTube-sponsorater og affiliate-sider for at overbevise dig om, at du "skal" have deres tjeneste – så spørg dig selv hvorfor. Sandheden er, at de fleste VPN-virksomheder tjener mere på at indsamle og sælge data om dig end på dit månedlige abonnementsgebyr.

Kilder og videre læsning

  • Pirate Bay-retssagen: Wikipedia (sv), SVT Nyheter, TorrentFreak

  • Kape Technologies: CyberInsider, The Register

  • ExpressVPN/Project Raven: Cybernews, TechRadar

  • Facebook/Onavo/Ghostbusters: TechCrunch

  • Kinesiske VPN-ejere: Top10VPN, SecurityAffairs

  • VPN-datalækket 2020: WeLiveSecurity, The Register

  • Anmeldelsessider og ejerskab: CyberInsider, VPNpro

  • Mullvad politirazzia: Wikipedia (en), Mullvad blogg


– Emma Bergqvist

Denne artikel er oversat fra den svenske original ved hjælp af AI. Indholdet er det samme – men enkelte oversættelsesfejl kan forekomme.

Vi använder cookies för att säkra din inloggning och förbättra din upplevelse. Läs mer i vår Cookiepolicy.