VPN-bluffen: Vem äger egentligen din "säkra" uppkoppling?

Du betalar för en VPN-tjänst för att skydda din integritet. Du litar på att ingen ser vad du gör online. Men vad händer om företaget bakom din VPN har en historia av att sprida adware, ägs av en dömd bedragare, eller i slutändan kontrolleras av en främmande statsmakt? Välkommen till VPN-industrins mörkaste hemligheter.

Den här artikeln bygger på verifierbara fakta, namngivna källor och offentliga dokument. Allt jag påstår kan du själv kontrollera. Jag har följt ägarkedjor, grävt i bolagsregister och läst rättegångshandlingar. Det jag hittade är värre än jag trodde.

Det började med The Pirate Bay

För att förstå varför miljontals svenskar idag använder VPN måste vi backa till 2006. Den 31 maj stormar 65 svenska poliser ett datacenter i Stockholm och beslagtar The Pirate Bays servrar. Tillslaget sker efter intensiv press från USA:s ambassad i Stockholm, något som senare bekräftades av hemliga amerikanska ambassadtelegram som läcktes via WikiLeaks. Ambassaden beskrev tillslaget som "en betydande seger" för deras arbete med immaterialrätt i Sverige.

Men det var rättegången 2009 som verkligen fick folk att reagera. Tingsrättens ordförande Tomas Norström dömde de fyra åtalade till fängelse och skadestånd. Kort efter domen avslöjade Sveriges Radios P3 Nyheter att Norström var styrelseledamot i Svenska Föreningen för Upphovsrätt (SFU) och Svenska Föreningen för Industriellt Rättsskydd (SFIR). Samma organisationer där målsägandesidans advokater satt: Henrik Pontén från Antipiratbyrån, Monique Wadsted som representerade filmindustrin, och Peter Danowsky från IFPI.

Domaren satt alltså i samma intresseorganisationer som advokaterna han borde ha varit neutral mot. Trots detta avgjorde Svea hovrätt i juni 2009 att Norström inte var jävig – men kritiserade honom för att inte ha redovisat sina engagemang innan rättegången. Det pikanta: under urvalet av nämndemän hade Norström själv avvisat en person just för att den hade kopplingar till upphovsrättsorganisationer.

Att Svea hovrätt valde att inte ogiltigförklara domen trots dessa kopplingar blottlade något djupare: en grundläggande brist i svensk rättssäkerhet. I de flesta rättssystem hade en domare med dokumenterade band till målsägandesidans organisationer diskvalificerats automatiskt. I Sverige räckte det inte. Hovrättens resonemang – att kopplingarna visserligen var olämpliga men inte tillräckliga för att utgöra jäv – satte en skrämmande prejudikat. Om en domare kan sitta i samma lobbygrupperingar som motpartens advokater utan konsekvenser, var går då gränsen? Frågan är fortfarande obesvarad. Inga politiska reformer har genomförts för att stärka jävsreglerna sedan dess. Rättssäkerheten i teknikrelaterade mål förblir ett olöst problem som Sveriges politiker verkar helt ointresserade av att ta tag i.

Det slutar inte där. Utredaren i målet, polisen Jim Keyzer, lämnade polisen kort efter att utredningen avslutades 2008 – för att börja jobba på Warner Brothers, ett av de filmbolag som var målsägande. Enligt Sydsvenskan hade Keyzer redan börjat arbeta för studion medan utredningen fortfarande pågick.

Rättegången skakade förtroendet för rättsväsendet bland teknikintresserade svenskar. Känslan var tydlig: mäktiga utländska intressen kunde påverka svensk rättsprocess. Lösningen för många? Skaffa en VPN. Ingen skulle kunna se vad de gjorde online igen. Men det var precis det som var problemet.

Kape Technologies: Från adware till VPN-imperium

Låt oss prata om företaget som idag äger fyra av världens mest populära VPN-tjänster: ExpressVPN, CyberGhost, Private Internet Access (PIA) och ZenMate. Företaget heter Kape Technologies. Men fram till mars 2018 hette det Crossrider.

Crossrider var ökänt inom säkerhetsbranschen. Företaget utvecklade verktyg för att skapa webbläsartillägg som injicerade reklam på webbsidor användare besökte – klassisk adware. En gemensam studie från University of California Berkeley och Google identifierade Crossrider 2015 som en av de största distributörerna av annonsinjektorer, inklusive det ökända SuperFish.

Företaget bytte namn till Kape Technologies 2018 just för att komma ifrån denna bakgrund. I deras egna ord: på grund av "den starka associationen till företagets tidigare verksamhet". Sedan dess har de köpt upp VPN-tjänster i rasande takt:

• 2017: CyberGhost VPN – cirka 10 miljoner dollar

• 2018: ZenMate VPN – cirka 5 miljoner dollar

• 2019: Private Internet Access (PIA) – 127 miljoner dollar

• 2021: ExpressVPN – 936 miljoner dollar

Men Kape köpte inte bara VPN-tjänster. I mars 2021 förvärvade de Webselenese – moderbolaget bakom vpnMentor och Wizcase, två av världens största VPN-recensionssajter – för 149 miljoner dollar. Ett företag som säljer VPN äger alltså sajterna som recenserar VPN. Gissa vilka tjänster som plötsligt hamnade högst i rankingarna?

Efter förvärvet försvann NordVPN och Surfshark från topplaceringarna på vpnMentor. Istället klättrade CyberGhost och Private Internet Access upp till plats 2 och 3. Ordet "Kape" nämns ingenstans på produktsidorna. Deras ägandedisclosure är begravd i fotnoter som de allra flesta besökare aldrig ser.

Mannen bakom kulisserna: Teddy Sagi

Kape Technologies ägs av Unikmind, ett holdingbolag vars enda ägare är den israelisk-cypriotiske miljardären Teddy Sagi. Forbes värderar honom till 7,1 miljarder dollar – Israels fjärde rikaste person. 1996 dömdes Sagi i Israel för bedrägeri och mutbrott efter att ha manipulerat priset på statsobligationer vid en auktion hos Israels centralbank. Han köpte obligationer värda 20 miljoner shekel och fick deras värde att stiga 6% inom minuter genom otillbörlig påverkan. Han dömdes till nio månaders fängelse.

Efter avtjänat straff grundade Sagi bland annat Playtech, en av världens största leverantörer av mjukvara för onlinespel. Han har även kopplats till 16 offshoreföretag via Panama Papers. Det här är personen som i slutändan kontrollerar din "säkra" VPN-anslutning om du använder ExpressVPN, CyberGhost, PIA eller ZenMate.

ExpressVPN och spionprogrammet som hackade journalister

2021 avslöjades att ExpressVPN:s dåvarande CIO (Chief Information Officer) Daniel Gericke var en av tre före detta amerikanska underrättelseagenter som deltog i Project Raven – ett hemligt övervakningsprogram drivet åt Förenade Arabemiratens monarki. Projektet utvecklade ett hackingverktyg kallat Karma som kunde ta över mobiltelefoner utan användarinteraktion.

Karma användes för att hacka människorättsaktivister, journalister och rivaliserande regeringar. Gericke ingick en förlikningsöverenskommelse (Deferred Prosecution Agreement) med USA:s justitiedepartement och bötfälldes med 335 000 dollar. ExpressVPN medgav att de kände till Gerickes bakgrund men behöll honom ändå. Edward Snowden ifrågasatte offentligt hur ett VPN-företag kunde anställa en person med den bakgrunden.

Det här är företaget som miljontals människor litar på med sin mest privata internettrafik.

Facebook och VPN-fällan: Project Ghostbusters

VPN-missbruk kommer inte bara från obskyra företag. 2013 köpte Facebook den israeliska startupen Onavo för 120 miljoner dollar. Onavo marknadsfördes som ett "datasparkande" och integritetsfokuserat verktyg. I verkligheten gav installationen Facebook total tillgång till användarnas digitala aktivitet – webbhistorik, appanvändning och tidsstämplar samlades in i tysthet.

2016 lanserade Facebook internt "Project Ghostbusters" – ett hemligt projekt för att avlyssna och dekryptera nätverkstrafiken mellan Snapchat-användare och Snapchats servrar. Mark Zuckerberg skrev i ett mejl att eftersom Snapchats trafik var krypterad hade Facebook "ingen analytics om dem" och instruerade sina chefer att "hitta ett nytt sätt att få tillförlitlig analytics". Lösningen? Onavos VPN-teknik som utförde SSL man-in-the-middle-attacker.

Samma metod riktades senare mot YouTube och Amazon. 2019 avslöjade TechCrunch att Facebook dessutom hade betalat tonåringar – vissa så unga som 13 år – upp till 20 dollar i månaden för att installera Onavo, vilket gav Facebook total åtkomst till all deras webbaktivitet. Facebook stängde ned Onavo men startade omedelbart ett nytt program under namnet "Facebook Research", internt kallat Project Atlas, med samma funktion.

Kinesiska militären i din VPN-app

2019 avslöjade en undersökning av VPNpro att nästan en tredjedel av världens mest populära VPN-tjänster i hemlighet ägdes av kinesiska företag. Totalt identifierades 105 VPN-produkter som drevs av bara 24 företag – och ägarstrukturerna var medvetet dolda bakom lager av skalbolag.

Det kinesiska företaget Innovative Connecting äger i hemlighet minst 10 VPN-produkter med totalt 86 miljoner installationer, däribland Turbo VPN och Snap VPN. Ägaren? Lemon Seed Technology Ltd, registrerat på Caymanöarna, som i sin tur förvärvades av Qihoo 360 – ett företag som av USA:s handelsdepartement listats som ett "kinesiskt militärföretag" och sanktionerades i juni 2020 av säkerhetsskäl.

2020 bekräftades farhågorna när sju VPN-tjänster baserade i Hongkong – UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN och Rabbit VPN – läckte 1,2 terabyte data från över 20 miljoner användare. Samtliga delade samma infrastruktur. Datan låg öppet tillgänglig på en osäkrad Elasticsearch-server och innehöll: namn, e-postadresser, hemadresser, lösenord i klartext, Bitcoin- och PayPal-betalningsinformation, besökta webbplatser och anslutningsloggar. Alla sju tjänsterna hade "strikt no-log-policy" i sina villkor.

Den obehagliga slutsatsen: ett perfekt övervakningsnät

Här vill jag att du stannar upp och ser helheten. Tänk igenom följande kedja:

1. 2006: Mäktiga intressen trycker på och får Sverige att slå ned på fildelning. Domaren i rättegången sitter i samma organisationer som åklagarsidans advokater. Polisutredaren går direkt till ett av de klagande filmbolagen.

2. Miljontals människor, inte bara i Sverige utan globalt, tappar förtroendet och skaffar VPN för att "skydda sig".

3. VPN-industrin exploderar. Hundratals tjänster dyker upp, marknadsförda som "no-log" och "anonyma".

4. Bakom kulisserna ägs dessa tjänster av företag med kopplingar till Israel, Kina, Ryssland och USA – ofta genom lager av skalbolag som gör det omöjligt att se vem som faktiskt kontrollerar servrarna.

5. Även de sajter som ska granska och recensera VPN-tjänsterna ägs av samma företag som säljer dem.

Resultatet? Istället för att din internettrafik går direkt från dig till webbplatser – där den skyddas av HTTPS-kryptering – kanaliserar du frivilligt ALLT genom servrar som kontrolleras av företag du inte vet något om. Du har i praktiken bytt ut din internetleverantör (som lyder under svenska lagar) mot ett utländskt företag som kanske inte lyder under några lagar alls.

Jag säger inte att detta nödvändigtvis var en medveten strategi från dag ett. Men om en underrättelsetjänst ville designa ett system för massövervakning av internetanvändare som aktivt försöker undvika övervakning – ja, då skulle det se ut exakt så här.

Recensionssajterna: Vargarna vaktar fåren

"Men jag kollade recensioner innan jag valde VPN!" Ja, det är precis det de räknar med. Kape Technologies äger vpnMentor (cirka 3,5 miljoner besökare per månad) och Wizcase (cirka 3,3 miljoner besökare per månad) via dotterbolaget Webselenese, baserat i Tel Aviv. Förvärvet kostade 149 miljoner dollar – mer än vad Kape betalade för CyberGhost, ZenMate och PIA tillsammans.

Det berättar allt du behöver veta om vad dessa sajter egentligen är värda för Kape: inte granskningsverktyg, utan marknadsföringskanaler. När du "jämför" VPN-tjänster på vpnMentor jämför du i praktiken produkter som alla ägs av samma företag.

Och det är inte bara Kape. VPN-branschen saknar helt reglering och oberoende granskning. YouTubers som rekommenderar VPN-tjänster får ofta tusentals dollar per video i sponsorpengar – utan att nämna ägarstrukturerna bakom tjänsterna de marknadsför. TechRadar har rapporterat om hur influencers VPN-kampanjer i sig kan utgöra en säkerhetsrisk.

NordVPN och Surfshark: Samma ägare, olika varumärken

NordVPN, förmodligen den mest kända VPN-tjänsten tack vare aggressiv YouTube-marknadsföring, och Surfshark gick 2022 samman under moderbolaget Cyberspace BV. De ägs i sin tur av Nord Security, grundat i Litauen. Historiskt har NordVPN kopplats till Tesonet, ett litauiskt teknikföretag, och registrerats via Tefincom S.A. i Panama.

NordVPN och Surfshark hävdar att de är oberoende och har genomgått externa revisioner av PricewaterhouseCoopers. Men faktum kvarstår: två av de mest populära "alternativa" VPN-valen är samma företag. Illusionen av konkurrens och valfrihet upprätthålls genom separata varumärken.

Ägarkartan: Vem kontrollerar vad?

Här är en sammanställning av de största VPN-tjänsterna och deras faktiska ägare, baserad på offentliga bolagsuppgifter:

Kape Technologies (Israel/Cypern, via Teddy Sagi): ExpressVPN, CyberGhost, Private Internet Access, ZenMate. Plus recensionssajterna vpnMentor och Wizcase.

Nord Security / Cyberspace BV (Litauen/Nederländerna): NordVPN, Surfshark, Atlas VPN.

Aura/Pango (Israel/USA): Hotspot Shield, Betternet, Touch VPN, VPN360.

Innovative Connecting / Qihoo 360 (Kina, via Caymanöarna): Turbo VPN, Snap VPN, VPN Proxy Master, och minst sju andra appar med 86 miljoner installationer totalt. Qihoo 360 har listats som kinesiskt militärföretag av USA:s handelsdepartement.

Gaditek (Pakistan): PureVPN.

Notera mönstret: de flesta populära VPN-tjänster kan spåras tillbaka till Israel, Kina, Litauen eller USA. Transparensen varierar enormt – vissa är helt öppna med sitt ägande, andra gömmer sig bakom skalbolag på Caymanöarna, i Panama eller British Virgin Islands.

Undantaget: Mullvad VPN

Jag vill vara tydlig: den här artikeln är inte reklam för något VPN. Men i researchen var det omöjligt att inte lägga märke till ett undantag. Mullvad VPN AB, baserat i Göteborg, ägs till 100% av grundarna Fredrik Strömberg och Daniel Berntsson via moderbolaget Amagicom AB. Inga holdingbolag, inga skalbolag, inga utländska investerare.

Mullvad har genomgått oberoende säkerhetsrevisioner av bland annat Cure53 och NCC Group. Men det mest talande beviset kom den 18 april 2023, när svenska polisens Nationella operativa avdelning (NOA) genomförde en husrannsakan på Mullvads kontor i Göteborg med en husrannsakningsorder för att beslagta datorer med kunddata. Mullvad kunde visa att i enlighet med deras policy existerade ingen sådan data. Polisen lämnade utan att beslagta någonting.

Mullvad accepterar kontant betalning per post, kräver ingen e-post vid registrering, och publicerar sin källkod öppet. Deras affärsmodell är det enklaste tänkbara: 5 euro i månaden, ingen rabatt för längre perioder, inga "Black Friday-deals". De spenderar i princip noll på marknadsföring. Det är i sig en signal – företag som inte behöver sälja hårt har oftast inget att dölja.

Behöver du ens en VPN?

Det här är frågan som VPN-industrin absolut inte vill att du ställer. I de flesta vardagssituationer: nej, förmodligen inte. Sedan HTTPS blev standard på i princip alla webbplatser (den gröna hänglåsikonen) är din trafik redan krypterad. Din internetleverantör kan se vilka domäner du besöker, men inte vad du gör på dem.

En VPN kan vara motiverad om du:

• Befinner dig på ett öppet wifi-nätverk (kafé, flygplats, hotell)

• Bor i ett land med internetcensur

• Är journalist, aktivist eller whistleblower med reella hot mot dig

• Vill komma åt geoblockerat innehåll (streaming från andra länder)

Men för vanlig surfning, e-post och sociala medier? Du byter i praktiken en övervakare (din ISP, som lyder under svensk lag) mot en annan (ett VPN-företag som kanske lyder under noll lagar). Det är inte automatiskt en förbättring.

Vad du kan göra

Om du ändå vill använda VPN, kontrollera åtminstone dessa saker:

1. Vem äger företaget? Följ ägarkedjan hela vägen. Om den slutar i ett skalbolag på Caymanöarna – spring.

2. Var ligger servrarna? Om svaret är "vi kan inte berätta" har du redan ditt svar.

3. Har de genomgått oberoende revisioner? Inte självrapporterade, utan av tredjepartsföretag som Cure53, NCC Group eller PricewaterhouseCoopers.

4. Vem recenserar dem? Om recensionssajten ägs av ett VPN-företag är den inte oberoende.

5. Är koden öppen? Open source-klienter innebär att oberoende forskare kan granska koden.

Och viktigast av allt: var skeptisk. Inte paranoid, men skeptisk. Om ett företag lägger miljoner på YouTube-sponsring och affiliate-sajter för att övertyga dig om att du "måste" ha deras tjänst – fråga dig varför. Sanningen är att de flesta VPN-företag tjänar mer på att samla och sälja data om dig än på din månatliga prenumerationsavgift.

Källor och vidare läsning

• Pirate Bay-rättegången: Wikipedia (sv), SVT Nyheter, TorrentFreak

• Kape Technologies: CyberInsider, The Register

• ExpressVPN/Project Raven: Cybernews, TechRadar

• Facebook/Onavo/Ghostbusters: TechCrunch

• Kinesiska VPN-ägare: Top10VPN, SecurityAffairs

• VPN-dataläckan 2020: WeLiveSecurity, The Register

• Recensionssajter och ägande: CyberInsider, VPNpro

• Mullvad polisrazzia: Wikipedia (en), Mullvad blogg

– Emma Bergqvist