Tillbaka till Bulletin Board
VPN-bløffen: Hvem eier egentlig din «sikre» tilkobling?
Säkerhet 13 min lasning

VPN-bløffen: Hvem eier egentlig din «sikre» tilkobling?

Du betaler for VPN for å beskytte personvernet ditt. Men selskapet bak kan eies av en domfelt bedrager, et kinesisk militærselskap, eller et gammelt adware-selskap. Her er hele sannheten om VPN-bransjens skjulte eiere.

Emma Bergqvist

Emma Bergqvist

17 februari 2026

508 visningar
VPNintegritetsäkerhetKape TechnologiesMullvadPirate Bayövervakningutvald

Du betaler for en VPN-tjeneste for å beskytte personvernet ditt. Du stoler på at ingen ser hva du gjør på nettet. Men hva skjer om selskapet bak VPN-en din har en historie med å spre adware, eies av en domfelt bedrager, eller til syvende og sist kontrolleres av en fremmed statsmakt? Velkommen til VPN-bransjens mørkeste hemmeligheter.

Denne artikkelen bygger på etterprøvbare fakta, navngitte kilder og offentlige dokumenter. Alt jeg påstår, kan du kontrollere selv. Jeg har fulgt eierkjeder, gravd i selskapsregistre og lest rettsdokumenter. Det jeg fant, er verre enn jeg trodde.

Det begynte med The Pirate Bay

For å forstå hvorfor millioner av svensker i dag bruker VPN, må vi gå tilbake til 2006. Den 31. mai stormer 65 svenske politifolk et datasenter i Stockholm og beslaglegger serverne til The Pirate Bay. Aksjonen skjer etter intenst press fra USAs ambassade i Stockholm, noe som senere ble bekreftet av hemmelige amerikanske ambassadetelegrammer som ble lekket via WikiLeaks. Ambassaden beskrev aksjonen som «en betydelig seier» for arbeidet deres med immaterialrett i Sverige.

Men det var rettssaken i 2009 som virkelig fikk folk til å reagere. Rettens formann Tomas Norström dømte de fire tiltalte til fengsel og erstatning. Kort tid etter dommen avslørte Sveriges Radios P3 Nyheter at Norström satt i styret i Svenska Föreningen för Upphovsrätt (SFU) og Svenska Föreningen för Industriellt Rättsskydd (SFIR). De samme organisasjonene der advokatene på saksøkersiden satt: Henrik Pontén fra Antipiratbyrån, Monique Wadsted som representerte filmindustrien, og Peter Danowsky fra IFPI.

Dommeren satt altså i de samme interesseorganisasjonene som advokatene han burde ha vært nøytral overfor. Til tross for dette avgjorde Svea hovrätt i juni 2009 at Norström ikke var inhabil – men kritiserte ham for ikke å ha opplyst om vervene sine før rettssaken. Det pikante: under utvelgelsen av meddommere hadde Norström selv avvist en person nettopp fordi vedkommende hadde tilknytning til opphavsrettsorganisasjoner.

At Svea hovrätt valgte å ikke kjenne dommen ugyldig til tross for disse koblingene, blottla noe dypere: en grunnleggende svikt i den svenske rettssikkerheten. I de fleste rettssystemer ville en dommer med dokumenterte bånd til saksøkersidens organisasjoner blitt diskvalifisert automatisk. I Sverige holdt det ikke. Hovrättens resonnement – at koblingene riktignok var uheldige, men ikke tilstrekkelige til å utgjøre inhabilitet – satte en skremmende presedens. Hvis en dommer kan sitte i de samme lobbygruppene som motpartens advokater uten konsekvenser, hvor går da grensen? Spørsmålet er fortsatt ubesvart. Ingen politiske reformer har blitt gjennomført for å styrke habilitetsreglene siden den gang. Rettssikkerheten i teknologirelaterte saker forblir et uløst problem som Sveriges politikere virker helt uinteresserte i å ta tak i.

Det slutter ikke der. Etterforskeren i saken, politimannen Jim Keyzer, sluttet i politiet kort tid etter at etterforskningen ble avsluttet i 2008 – for å begynne å jobbe hos Warner Brothers, ett av filmselskapene som var saksøkere. Ifølge Sydsvenskan hadde Keyzer allerede begynt å arbeide for studioet mens etterforskningen fortsatt pågikk.

Rettssaken rystet tilliten til rettsvesenet blant teknologiinteresserte svensker. Følelsen var tydelig: mektige utenlandske interesser kunne påvirke en svensk rettsprosess. Løsningen for mange? Skaffe seg en VPN. Ingen skulle kunne se hva de gjorde på nettet lenger. Men det var nettopp det som var problemet.

Kape Technologies: Fra adware til VPN-imperium

La oss snakke om selskapet som i dag eier fire av verdens mest populære VPN-tjenester: ExpressVPN, CyberGhost, Private Internet Access (PIA) og ZenMate. Selskapet heter Kape Technologies. Men fram til mars 2018 het det Crossrider.

Crossrider var beryktet i sikkerhetsbransjen. Selskapet utviklet verktøy for å lage nettlesertillegg som injiserte reklame på nettsidene brukerne besøkte – klassisk adware. En felles studie fra University of California Berkeley og Google identifiserte Crossrider i 2015 som en av de største distributørene av annonseinjektorer, inkludert den beryktede SuperFish.

Selskapet skiftet navn til Kape Technologies i 2018 nettopp for å komme bort fra denne bakgrunnen. Med deres egne ord: på grunn av «den sterke assosiasjonen til selskapets tidligere virksomhet». Siden da har de kjøpt opp VPN-tjenester i rasende tempo:

  • 2017: CyberGhost VPN – rundt 10 millioner dollar

  • 2018: ZenMate VPN – rundt 5 millioner dollar

  • 2019: Private Internet Access (PIA) – 127 millioner dollar

  • 2021: ExpressVPN – 936 millioner dollar

Men Kape kjøpte ikke bare VPN-tjenester. I mars 2021 kjøpte de Webselenese – morselskapet bak vpnMentor og Wizcase, to av verdens største nettsteder for VPN-anmeldelser – for 149 millioner dollar. Et selskap som selger VPN, eier altså nettstedene som anmelder VPN. Gjett hvilke tjenester som plutselig havnet øverst på rangeringene?

Etter oppkjøpet forsvant NordVPN og Surfshark fra topplasseringene på vpnMentor. I stedet klatret CyberGhost og Private Internet Access opp til andre- og tredjeplass. Ordet «Kape» nevnes ingen steder på produktsidene. Eieropplysningene deres er begravd i fotnoter som de aller fleste besøkende aldri ser.

Mannen bak kulissene: Teddy Sagi

Kape Technologies eies av Unikmind, et holdingselskap hvis eneste eier er den israelsk-kypriotiske milliardæren Teddy Sagi. Forbes verdsetter ham til 7,1 milliarder dollar – Israels fjerde rikeste person. I 1996 ble Sagi dømt i Israel for bedrageri og bestikkelser etter å ha manipulert prisen på statsobligasjoner under en auksjon hos Israels sentralbank. Han kjøpte obligasjoner verdt 20 millioner shekel og fikk verdien deres til å stige 6 % i løpet av minutter gjennom utilbørlig påvirkning. Han ble dømt til ni måneders fengsel.

Etter å ha sonet straffen grunnla Sagi blant annet Playtech, en av verdens største leverandører av programvare for nettspill. Han har også blitt knyttet til 16 offshoreselskaper via Panama Papers. Dette er personen som til syvende og sist kontrollerer din «sikre» VPN-tilkobling hvis du bruker ExpressVPN, CyberGhost, PIA eller ZenMate.

ExpressVPN og spionprogrammet som hacket journalister

I 2021 ble det avslørt at ExpressVPNs daværende CIO (Chief Information Officer) Daniel Gericke var en av tre tidligere amerikanske etterretningsagenter som deltok i Project Raven – et hemmelig overvåkingsprogram drevet på vegne av De forente arabiske emiraters monarki. Prosjektet utviklet et hackingverktøy kalt Karma som kunne overta mobiltelefoner uten brukerinteraksjon.

Karma ble brukt til å hacke menneskerettighetsaktivister, journalister og rivaliserende regjeringer. Gericke inngikk en avtale om utsatt påtale (Deferred Prosecution Agreement) med USAs justisdepartement og ble bøtelagt med 335 000 dollar. ExpressVPN innrømmet at de kjente til Gerickes bakgrunn, men beholdt ham likevel. Edward Snowden stilte offentlig spørsmål ved hvordan et VPN-selskap kunne ansette en person med den bakgrunnen.

Dette er selskapet som millioner av mennesker stoler på med sin mest private internettrafikk.

Facebook og VPN-fellen: Project Ghostbusters

VPN-misbruk kommer ikke bare fra obskure selskaper. I 2013 kjøpte Facebook den israelske oppstartsbedriften Onavo for 120 millioner dollar. Onavo ble markedsført som et «datasparende» og personvernfokusert verktøy. I virkeligheten ga installasjonen Facebook full tilgang til brukernes digitale aktivitet – nettleserhistorikk, appbruk og tidsstempler ble samlet inn i det stille.

I 2016 lanserte Facebook internt «Project Ghostbusters» – et hemmelig prosjekt for å avlytte og dekryptere nettverkstrafikken mellom Snapchat-brukere og Snapchats servere. Mark Zuckerberg skrev i en e-post at siden Snapchats trafikk var kryptert, hadde Facebook «ingen analytics om dem», og instruerte sjefene sine om å «finne en ny måte å få pålitelig analytics på». Løsningen? Onavos VPN-teknologi som utførte SSL man-in-the-middle-angrep.

Den samme metoden ble senere rettet mot YouTube og Amazon. I 2019 avslørte TechCrunch at Facebook i tillegg hadde betalt tenåringer – enkelte så unge som 13 år – opptil 20 dollar i måneden for å installere Onavo, noe som ga Facebook full tilgang til all nettaktiviteten deres. Facebook la ned Onavo, men startet umiddelbart et nytt program under navnet «Facebook Research», internt kalt Project Atlas, med samme funksjon.

Det kinesiske militæret i VPN-appen din

I 2019 avslørte en undersøkelse fra VPNpro at nesten en tredjedel av verdens mest populære VPN-tjenester i hemmelighet ble eid av kinesiske selskaper. Totalt ble det identifisert 105 VPN-produkter som ble drevet av bare 24 selskaper – og eierstrukturene var bevisst skjult bak lag på lag av skallselskaper.

Det kinesiske selskapet Innovative Connecting eier i hemmelighet minst 10 VPN-produkter med til sammen 86 millioner installasjoner, deriblant Turbo VPN og Snap VPN. Eieren? Lemon Seed Technology Ltd, registrert på Caymanøyene, som i sin tur ble kjøpt opp av Qihoo 360 – et selskap som av USAs handelsdepartement er ført opp som et «kinesisk militærselskap» og ble sanksjonert i juni 2020 av sikkerhetshensyn.

I 2020 ble bekymringene bekreftet da sju VPN-tjenester basert i Hongkong – UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN og Rabbit VPN – lekket 1,2 terabyte data fra over 20 millioner brukere. Samtlige delte den samme infrastrukturen. Dataene lå åpent tilgjengelig på en usikret Elasticsearch-server og inneholdt: navn, e-postadresser, hjemmeadresser, passord i klartekst, betalingsinformasjon for Bitcoin og PayPal, besøkte nettsteder og tilkoblingslogger. Alle de sju tjenestene hadde «streng no-log-policy» i vilkårene sine.

Den ubehagelige konklusjonen: et perfekt overvåkingsnett

Her vil jeg at du skal stoppe opp og se helheten. Tenk gjennom følgende kjede:

  1. 2006: Mektige interesser presser på og får Sverige til å slå ned på fildeling. Dommeren i rettssaken sitter i de samme organisasjonene som advokatene på aktoratsiden. Politietterforskeren går rett til ett av filmselskapene som klaget.

  2. Millioner av mennesker, ikke bare i Sverige, men globalt, mister tilliten og skaffer seg VPN for å «beskytte seg».

  3. VPN-bransjen eksploderer. Hundrevis av tjenester dukker opp, markedsført som «no-log» og «anonyme».

  4. Bak kulissene eies disse tjenestene av selskaper med koblinger til Israel, Kina, Russland og USA – ofte gjennom lag på lag av skallselskaper som gjør det umulig å se hvem som faktisk kontrollerer serverne.

  5. Selv nettstedene som skal granske og anmelde VPN-tjenestene, eies av de samme selskapene som selger dem.

Resultatet? I stedet for at internettrafikken din går direkte fra deg til nettstedene – der den beskyttes av HTTPS-kryptering – kanaliserer du frivillig ALT gjennom servere som kontrolleres av selskaper du ikke vet noe om. Du har i praksis byttet ut internettleverandøren din (som er underlagt svenske lover) med et utenlandsk selskap som kanskje ikke er underlagt noen lover i det hele tatt.

Jeg sier ikke at dette nødvendigvis var en bevisst strategi fra dag én. Men hvis en etterretningstjeneste ville designe et system for masseovervåking av internettbrukere som aktivt prøver å unngå overvåking – ja, da ville det sett ut akkurat slik.

Anmeldelsesnettstedene: Ulvene vokter sauene

«Men jeg sjekket anmeldelser før jeg valgte VPN!» Ja, det er nettopp det de regner med. Kape Technologies eier vpnMentor (rundt 3,5 millioner besøkende i måneden) og Wizcase (rundt 3,3 millioner besøkende i måneden) via datterselskapet Webselenese, basert i Tel Aviv. Oppkjøpet kostet 149 millioner dollar – mer enn det Kape betalte for CyberGhost, ZenMate og PIA til sammen.

Det forteller deg alt du trenger å vite om hva disse nettstedene egentlig er verdt for Kape: ikke granskingsverktøy, men markedsføringskanaler. Når du «sammenligner» VPN-tjenester på vpnMentor, sammenligner du i praksis produkter som alle eies av det samme selskapet.

Og det er ikke bare Kape. VPN-bransjen mangler all regulering og uavhengig gransking. YouTubere som anbefaler VPN-tjenester, får ofte tusenvis av dollar per video i sponsorpenger – uten å nevne eierstrukturene bak tjenestene de markedsfører. TechRadar har rapportert om hvordan influenseres VPN-kampanjer i seg selv kan utgjøre en sikkerhetsrisiko.

NordVPN og Surfshark: Samme eier, ulike merkevarer

NordVPN, antakelig den mest kjente VPN-tjenesten takket være aggressiv YouTube-markedsføring, og Surfshark slo seg sammen i 2022 under morselskapet Cyberspace BV. De eies i sin tur av Nord Security, grunnlagt i Litauen. Historisk har NordVPN blitt koblet til Tesonet, et litauisk teknologiselskap, og blitt registrert via Tefincom S.A. i Panama.

NordVPN og Surfshark hevder at de er uavhengige og har gjennomgått eksterne revisjoner av PricewaterhouseCoopers. Men faktum består: to av de mest populære «alternative» VPN-valgene er det samme selskapet. Illusjonen om konkurranse og valgfrihet opprettholdes gjennom separate merkevarer.

Eierkartet: Hvem kontrollerer hva?

Her er en oversikt over de største VPN-tjenestene og deres faktiske eiere, basert på offentlige selskapsopplysninger:

Kape Technologies (Israel/Kypros, via Teddy Sagi): ExpressVPN, CyberGhost, Private Internet Access, ZenMate. I tillegg anmeldelsesnettstedene vpnMentor og Wizcase.

Nord Security / Cyberspace BV (Litauen/Nederland): NordVPN, Surfshark, Atlas VPN.

Aura/Pango (Israel/USA): Hotspot Shield, Betternet, Touch VPN, VPN360.

Innovative Connecting / Qihoo 360 (Kina, via Caymanøyene): Turbo VPN, Snap VPN, VPN Proxy Master, og minst sju andre apper med 86 millioner installasjoner til sammen. Qihoo 360 har blitt ført opp som kinesisk militærselskap av USAs handelsdepartement.

Gaditek (Pakistan): PureVPN.

Legg merke til mønsteret: de fleste populære VPN-tjenester kan spores tilbake til Israel, Kina, Litauen eller USA. Åpenheten varierer enormt – noen er helt åpne om eierskapet sitt, andre gjemmer seg bak skallselskaper på Caymanøyene, i Panama eller på De britiske jomfruøyene.

Unntaket: Mullvad VPN

Jeg vil være tydelig: denne artikkelen er ikke reklame for noen VPN. Men under researchen var det umulig ikke å legge merke til ett unntak. Mullvad VPN AB, basert i Göteborg, eies 100 % av grunnleggerne Fredrik Strömberg og Daniel Berntsson via morselskapet Amagicom AB. Ingen holdingselskaper, ingen skallselskaper, ingen utenlandske investorer.

Mullvad har gjennomgått uavhengige sikkerhetsrevisjoner av blant andre Cure53 og NCC Group. Men det mest talende beviset kom den 18. april 2023, da svensk politis Nationella operativa avdelning (NOA) gjennomførte en ransaking på Mullvads kontor i Göteborg med en ransakingsordre for å beslaglegge datamaskiner med kundedata. Mullvad kunne vise at slike data, i tråd med policyen deres, ikke eksisterte. Politiet dro uten å beslaglegge noe som helst.

Mullvad aksepterer kontant betaling i posten, krever ingen e-post ved registrering, og publiserer kildekoden sin åpent. Forretningsmodellen deres er den enklest tenkelige: 5 euro i måneden, ingen rabatt for lengre perioder, ingen «Black Friday-deals». De bruker i praksis null på markedsføring. Det er i seg selv et signal – selskaper som ikke trenger å selge hardt, har som oftest ingenting å skjule.

Trenger du i det hele tatt en VPN?

Dette er spørsmålet VPN-bransjen absolutt ikke vil at du skal stille. I de fleste hverdagssituasjoner: nei, antakelig ikke. Etter at HTTPS ble standard på så godt som alle nettsteder (det grønne hengelåsikonet), er trafikken din allerede kryptert. Internettleverandøren din kan se hvilke domener du besøker, men ikke hva du gjør på dem.

En VPN kan være berettiget hvis du:

  • Befinner deg på et åpent wifi-nettverk (kafé, flyplass, hotell)

  • Bor i et land med internettsensur

  • Er journalist, aktivist eller whistleblower med reelle trusler mot deg

  • Vil få tilgang til geoblokkert innhold (streaming fra andre land)

Men for vanlig surfing, e-post og sosiale medier? Du bytter i praksis én overvåker (internettleverandøren din, som er underlagt svensk lov) mot en annen (et VPN-selskap som kanskje er underlagt null lover). Det er ikke automatisk en forbedring.

Hva du kan gjøre

Hvis du likevel vil bruke VPN, kontroller i det minste disse tingene:

  1. Hvem eier selskapet? Følg eierkjeden hele veien. Hvis den ender i et skallselskap på Caymanøyene – løp.

  2. Hvor ligger serverne? Hvis svaret er «det kan vi ikke fortelle», har du allerede svaret ditt.

  3. Har de gjennomgått uavhengige revisjoner? Ikke selvrapporterte, men av tredjepartsselskaper som Cure53, NCC Group eller PricewaterhouseCoopers.

  4. Hvem anmelder dem? Hvis anmeldelsesnettstedet eies av et VPN-selskap, er det ikke uavhengig.

  5. Er koden åpen? Open source-klienter innebærer at uavhengige forskere kan granske koden.

Og aller viktigst: vær skeptisk. Ikke paranoid, men skeptisk. Hvis et selskap bruker millioner på YouTube-sponsing og affiliate-nettsteder for å overbevise deg om at du «må» ha tjenesten deres – spør deg selv hvorfor. Sannheten er at de fleste VPN-selskaper tjener mer på å samle inn og selge data om deg enn på den månedlige abonnementsavgiften din.

Kilder og videre lesning

  • Pirate Bay-rettssaken: Wikipedia (sv), SVT Nyheter, TorrentFreak

  • Kape Technologies: CyberInsider, The Register

  • ExpressVPN/Project Raven: Cybernews, TechRadar

  • Facebook/Onavo/Ghostbusters: TechCrunch

  • Kinesiske VPN-eiere: Top10VPN, SecurityAffairs

  • VPN-datalekkasjen 2020: WeLiveSecurity, The Register

  • Anmeldelsesnettsteder og eierskap: CyberInsider, VPNpro

  • Mullvad politirazzia: Wikipedia (en), Mullvad blogg


– Emma Bergqvist

Denne artikkelen er oversatt fra den svenske originalen ved hjelp av AI. Innholdet er det samme – men enkelte oversettelsesfeil kan forekomme.

Vi använder cookies för att säkra din inloggning och förbättra din upplevelse. Läs mer i vår Cookiepolicy.