NordVPN、ExpressVPN平衡隐私和盈利 - 彭博社

插图：Jon Han为彭博商业周刊绘制在立陶宛古老的首都维尔纽斯，一个前苏联时代的袜子工厂的旧址上， NordSec BV的新总部正在一片建筑工人和脚手架的喧嚣中崛起。不久，这家初创公司的大约2,000名员工将聚集在一座砖烟囱的遗迹附近，在一个时尚的建筑群中打篮球、在屋顶烧烤。四年前，联合创始人汤姆·奥克曼（Tom Okman）和艾曼塔斯·萨巴利奥斯卡斯（Eimantas Sabaliauskas）投资于这座工厂的土地时，它仍在生产袜子。现在，前门的公交车站牌上写着Vienaragiu，立陶宛语中的“独角兽”。这种硅谷风格的显眼是对奥克曼和萨巴利奥斯卡斯来说是新鲜事，他们花了近十年的时间发展NordSec及其主要品牌 Nord Security，同时保持低调。对于一家毕竟是从事隐私业务的公司来说，这也有点不同寻常。

奥克曼和萨巴利奥斯卡斯。摄影师：凯拉·考夫曼（Kayla Kauffman）和费利克斯·冯·德尔·奥斯滕（Felix Von Der Osten）如果你听说过Nord，那可能是因为它的虚拟专用网络软件NordVPN。VPN的设计是通过将流量路由到世界各地的其他服务器的加密“隧道”中，隐藏您在线查看的内容以及您的查看位置。订阅价格从每月$3.29起，NordVPN的应用程序通过大约60个国家的大约5,500个服务器过滤用户的网络活动。在维尔纽斯浏览的人可能会被网站和广告跟踪器认为是坐在迈阿密、大阪、圣保罗或公司设备分布的近100个其他城市中的任何一个。根据您问的人，VPN提供了急需的隐私和摆脱窥探的自由，或者只是在被封锁的地方观看 Netflix或 ESPN+。

VPN使用原因

美国和英国用户份额

来源：Top10VPN 2020年报告

即使一些VPN的常见用途在法律上存在疑点，运营它们的公司传统上一直保持复杂、可疑的数据政策和所有权链。然而，该行业的领导者们不再躲避公众视线。当我在11月份与Nord的联合首席执行官Okman在老袜子工厂附近的一家牛排餐厅坐下时，他刚刚从里斯本的大型科技会议Web Summit回来，正在准备第二次前往每年一次的达沃斯世界经济论坛。几年前，达沃斯的人群不知道VPN是什么。“现在每个人都知道了，”Okman说。

NordSec的办公室位于维尔纽斯。摄影师：Kayla Kauffman和Felix Von Der Osten我们见面的那周，《时代》杂志将NordVPN评为2022年的最佳发明之一，称其为一种必不可少的安全工具。音乐人Drake的Instagram帖子显示，他在MacBook上打开了NordVPN，当他在线赌博时，联邦检察官最近发现被指控欺诈的FTX联合创始人Sam Bankman-Fried在保释期间使用VPN。（Bankman-Fried的律师表示，他被指控欺诈，被禁止使用某些加密软件，但他使用VPN观看超级碗比赛在他父母家里。）根据跟踪行业数据的评论网站Top10VPN.com，俄罗斯对VPN的兴趣在去年普京入侵乌克兰并封锁国内访问到Facebook和Twitter后上升了超过1000%。大约一个月后，Nord Security以16亿美元的估值筹集了1亿美元的风险投资，据称使其成为全球最有价值的VPN初创公司。Nord不会透露其当前的财务状况，但Okman表示，它拥有比最接近的竞争对手Kape Technologies Plc更多的活跃订阅用户，后者报告拥有超过700万付费客户，市值为15亿美元。

随着Kape的ExpressVPN，Nord已经成为一个市场的代表，该市场一直在努力走向主流，并与那些名为Faceless.me、Hotspot Shield和HideMyAss等极客或声誉较差的竞争对手保持距离。到目前为止，尽管来自资金更为雄厚的公司的新竞争，包括苹果公司，该公司提供了一款名为Private Relay的VPN变体，以及谷歌，该公司在去年秋季将自己的VPN集成到其Pixel智能手机中。“我不确定你是否想要使用谷歌VPN来保护隐私，”Okman指出，指出这家搜索巨头依赖于定向广告。（谷歌表示其VPN无法将网络流量与用户身份关联起来。）

这家初创公司的新总部位于一个苏联时代的袜子工厂。摄影师：Kayla Kauffman和Felix Von Der Osten一些研究人员警告称，任何VPN都不应被视为隐私的保证。密歇根大学计算机科学助理教授Roya Ensafi表示，她和她的同事发现VPN制造商夸大了他们提供的安全性。一个互联网服务提供商，更不用说五角大楼或普京，可以根据互联网模式或流量泄漏来确定谁在使用VPN。在某些情况下，一个恶意的ISP或国家可以暂时中断VPN连接，并在其加密隧道关闭时暴露敏感个人信息。“我们研究的每种VPN的混淆几乎都是令人尴尬地无效，”Ensafi说。一些VPN还被发现在进行市场研究时收集用户数据，隐藏与中国的联系或存储流量日志。2017年，《华尔街日报报道称，由Facebook Inc.运营的免费VPN Onavo Protect监控用户多频繁访问竞争对手的社交媒体服务。（Facebook表示其收集的信息是明确的，18个月后关闭了Onavo。

新总部的建设。摄影师：凯拉·考夫曼和费利克斯·冯·德尔·奥斯滕Okman表示，普华永道AG已经审计了其无日志政策，并认为使用额外的加密层比另一种选择更好。“如果你想在网上保持安全，你必须使用VPN，”他说。Nord具有防止流量泄漏的保护措施，并开发了配套软件，包括密码管理器、加密云存储服务和恶意软件扫描器。当被问及VPN的法律灰色用途时，Okman大多表现出震惊，震惊于发现赌博或非法流媒体等行为正在进行。他意识到行业中存在不良分子，但坚称Nord是合法运营的。“我们从未藏身于开曼群岛或其他任何地方，”Okman说。（一位Nord发言人表示，NordVPN在巴拿马注册，因为该国的法律不要求公司保留用户数据。）

随着Nord的扩张，它正面临来自对VPN允许访问受限制媒体感到恼火的国家以及试图阻止海外观看美国专属流媒体服务（如 Hulu LLC）的内容提供商的阻力。但也许它面临的最大挑战将是说服普通客户VPN是安全且必要的。苏格兰阿伯泰大学的杰克·威尔逊研究了VPN的漏洞，他说VPN实际上只是将您的浏览信任从ISP转移到一个监管模糊的遥远初创公司。“归根结底是：你更信任谁？”威尔逊说。

插图：Jon Han为彭博商业周刊绘制第一批VPN于上世纪90年代问世，作为企业员工在家工作的一种方式。微软公司的产品孵化负责人古德普·帕尔（Gurdeep Pall）是一个团队的成员，该团队被认为是为Windows 95创建早期VPN的功臣之一，他回忆起远程登录到办公网络的想法是如此新颖，以至于他很难找到超过一打早期采用者来使用拨号前身。“最初几个月，只有16个调制解调器中的13个会亮起，”Pall说。然而，随着宽带取代拨号上网，VPN作为一种安全措施在科技公司、银行和医院中得到了推广。

围绕着寻求娱乐的黑客，另一个VPN生态系统蓬勃发展。HideMyAss的第一名员工乔万·佩特罗维奇（Jovan Petrovic）说，HideMyAss在后来的几年变得很受欢迎，其标志是一只打扮成特工的驴，他说这变成了与政府和公司如Netflix公司之间的“捉迷藏”游戏，以便让用户访问地理受限的网站，因为它们会封锁VPN给用户的通用IP地址以保护用户活动。他澄清说，VPN从来不是什么神圣的产品。“这一切都是关于下载种子、流媒体和，你知道的，色情内容，”他笑着说。

大约在这个时候，奥克曼（Okman）和萨巴利奥斯卡斯（Sabaliauskas）第一次接触到VPN。他们出生于苏联占领下的立陶宛最后几年，并迷恋上了不久后从西方传来的计算机。他们在1999年左右的一个聊天室相遇，并花了几年时间讨论系统网络的细节。萨巴利奥斯卡斯在2002年去维尔纽斯大学学习信息技术后，两人才见面。毕业后，萨巴利奥斯卡斯加入了一家专注于网络广告和搜索引擎优化的营销公司，而奥克曼则在立陶宛最大的互联网服务提供商之一工作。“他基本上是把电缆拉到人们家里，让他们接入互联网，”萨巴利奥斯卡斯说。

这对夫妇不断地梦想着商业创业，并甚至建立了一个名为Tesonet的初创企业孵化器，尽管直到2012年才开始孵化，当时他们创建了后来成为NordVPN的产品。他们在工作中一直在使用企业VPN，并认为他们可以构建出更优秀的产品。他们在德国租用服务器，每月约50美元，他们用一个开源VPN协议拼凑出了一个基本系统，然后开发了简单的PC和Mac程序。至少在最初的几年里，客户必须对网络配置有相当多的了解。“一团糟，”2014年加入的前产品经理Justinas Jakunas说。“太极客了。但人们仍在使用它。” Nord没有从风险投资公司筹集资金，而是向几千名用户收取每月约8美元（或更少），并逐渐扩大了员工和服务器基础。Okman痴迷于速度和可靠性，因此公司的工程师们努力保持足够的服务器，以便没有一个服务器使用超过其带宽的30%。

Nord在德国的第一台网络服务器。摄影师：Kayla Kauffman和Felix Von Der Osten2015年，Nord的客户数量超过了10,000，并推出了iPhone应用程序，随后在第二年推出了Android版本。移动界面更加直观，具有大约500个服务器的Nord地图，以及一个一键连接按钮，将用户连接到当前速度最快的服务器。 Nord和其他VPN初创公司受益于客户对数据挖掘日益增长的担忧。一个推动行业发展的因素是特朗普政府。2017年，白宫推翻了一项规定，该规定要求ISP必须征得同意才能出售或分享客户的浏览历史以进行营销。Sabaliauskas表示，Nord的美国用户群在那之后迅速增加了近四倍：“我们把唐纳德·特朗普的照片放在了我们的月度员工照片上。”

随着市场份额的增长，Nord增加了更多聪明的隐私功能，包括一个加密系统，通过两个服务器而不是一个来路由流量。但与ExpressVPN的竞争在很大程度上是一场老式的营销战，尽管Okman说其中涉及约15,000名YouTube影响者。前Nord开发人员Kazimieras Celiesius说，多年来，该公司的广告宣传活动主要针对几乎没有技术专业知识的客户。“我称之为奶奶群体，”Celiesius说。“奶奶在电视上看到了它，她买了，甚至不知道如何打开它。”一些广告承诺“军用级加密”并表示“您的数据永远不会在NordVPN上受到损害”——一项消费者报告研究发现这些承诺具有误导性。Nord前用户留存领导Darius Skuncikas说，在会议中一个常见的议题是如何确保客户通过其VPN访问流媒体服务。“如果我们看到大规模取消订阅，第一个问题是‘Netflix能用吗？’”他回忆道。NordVPN发言人表示，他们使用的加密标准得到了美国国家安全局的批准，其营销的目的是向普通消费者传达技术特性，使用易于理解的词语。

VPN制造商还通过与联盟营销人员达成交易赢得了客户信任，包括VPN排名网站。许多这些网站通过其链接购买VPN订阅并获得推荐费，他们表示其编辑决策不受商业压力影响。“我们收到这些评论者的电子邮件，说‘嗨，伙计们，如果你给我们一定金额，第5名现在可以出售，’”Nord竞争对手Mullvad VPN AB的首席执行官Jan Jonsson说。Top10VPN.com的研究主管Simon Migliano表示，一些排名服务悄悄地由VPN品牌自己拥有。他称之为“一个巨大的信誉问题。”

Celiesius建议，行业内普遍认为，谷歌搜索结果中排名靠前的VPN评论网站Cybernews与Okman和Sabaliauskas的Tesonet孵化器有联系。Cybernews将NordVPN和Tesonet投资组合中的另外两个VPN服务商Surfshark和Atlas评为行业最佳三个服务。Nord发言人承认，Tesonet多年来与Cybernews的所有者Adtech LT UAB密切合作，并于十月投资了该网站的一个新的母公司。Cybernews的主编Jurgita Lapienyte表示，她的团队“遵循新闻报道的核心原则”，他们的分析“绝不受公司商业目标的影响。”

对于客户来说，很难确定哪些VPN是可信的。他们无法访问数据中心来检查服务提供商的服务器是否得到了妥善保护，也无法检查Nord的代码以确保其隐藏了他们的网络流量。2019年有报道称，Nord在芬兰一个数据中心的基础设施在前一年遭到了入侵，引发了关于潜在网络流量日志泄露的头条新闻—Nord称他们并未收集的关于订阅者的数据。Okman将这些报道视为阴谋论，强调该事件仅影响了成千上万台服务器中的一台，并且他的公司后来从服务器中移除了所有硬盘，以确保无法记录客户的流量。“对我们来说，收集日志是非常愚蠢的事情，”他说。

2021年9月，总部位于英国的Kape，已经收购了包括CyberGhost和Private Internet Access在内的VPN品牌，同意以9.36亿美元收购ExpressVPN。这本应该是该行业增长的迹象，但却引发了更多关于其合法性的问题。在2016年之前，Kape被称为Crossrider，其产品使其他开发人员能够向用户的个人电脑注入广告。它只能要求客户相信它已经改变。“Kape已经走出了那个时代，”ExpressVPN副总裁Harold Li说。

Okman和Sabaliauskas在晨跑。摄影师：Kayla Kauffman & Felix von der Osten\Okman在黎明前开始他的一天，穿过维尔纽斯的鹅卵石街道。他通常每周跑大约60英里，为铁人三项比赛和最近在北极参加的马拉松做训练。在办公室里，他同样专注，经常一次发送一个词的Slack消息，让员工的手机被通知淹没。团队目前的首要任务是说服客户让他们的VPN全天候运行。客户保持VPN开启的时间越长，他们续订每月约4美元的订阅的可能性就越大，Okman表示这可以带来80%的利润。用户会因为各种原因退出Nord，无论是因为服务器速度变慢还是因为他们得出结论，认为他们的上网冲浪根本不需要VPN保护。

不断增加的行业审查正在教导VPN用户，他们并不免疫于网络钓鱼攻击或其他欺诈行为。如果您登录了Gmail，Google即使使用匿名化IP地址也可以监视您的活动。Nord会保存您的电子邮件地址和账单信息，有办法三角定位用户的身份。“设备指纹识别，例如，会交叉参考元数据，如您的屏幕大小和您正在使用的Chrome版本。

“您不能只是获取一个VPN就能确保所有安全。这就是为什么我们有不同的产品”

NordVPN的应用现在具有恶意软件扫描器和暗网监视器，以防范可疑网站和下载，并跟踪数据泄露中的曝光。Nord还推出了NordPass，一个订阅式密码管理器，以及每月8美元的加密云服务。当我到达Okman的办公室时，他与Sabaliauskas和另外两位高管共享办公室，他们正在为NordLayer编写代码，这是一个设计用于为中小型企业提供低成本版本的昂贵防火墙保护的加密网络系统 Palo Alto Networks Inc. 提供给财富500强公司。

另一个新产品是Incogni。由与Nord于2022年合并的VPN Surfshark开发，它自动删除数百家在网上神秘运营的数据经纪商的个人数据。Surfshark创始人Vytautas Kaziukonis坐在他的办公室里，他将安全摄像头倾斜朝向墙壁以保护隐私。他说：“如果你自己尝试做，需要几个月的时间。”“我们为您完成这项工作。”

尽管Nord专注于多样化其产品线，但VPN收入仍占其销售额的绝大部分。当Okman向我展示他的智能手机应用时，我看到他的NordVPN订阅有效期至2050年9月。但与十年前不同，从汽车旅馆的Wi-Fi门户访问您的银行账户可能存在风险，如今更多的银行网站和浏览器默认提供加密连接。

行业的其他部分似乎也在将VPN纳入更广泛的安全套餐中。HideMyAss，现在更名为HMA，现在由反恶意软件品牌Avast和Norton的母公司拥有。谷歌将其VPN营销为网络安全增强而不是绕过地理网络限制的工具。诸如 S.C. Bitdefender Srl和 McAfee LLC等杀毒软件公司提供自己的VPN。ExpressVPN的Li将VPN比作类似ADT的监控中心，提供安全和安心，但这并不意味着您可以不锁门。Li说：“家庭安全系统可能会有广告，上面写着‘保护您的家免受入侵者侵害’或‘保护您的贵重物品’。”“它没有一个星号说‘如果发生火灾，您的家庭安全系统将无法保护您的贵重物品。’”在2022年4月领导Nord1亿美元融资轮的 Novator Partners LLP的管理合伙人Birgir Már Ragnarsson表示，单独使用VPN现在已经是一种商品：“您不能只是获取一个VPN就能确保所有安全。这就是为什么我们有不同的产品。”

但如果有一种产品Nord发誓不销售的话，那就是非法访问流媒体服务。Okman告诉我，公司并没有优化以规避Netflix的封锁，而且，无论如何，他提醒我Nord甚至不知道用户是否在观看流媒体内容，因为服务器不收集日志。他说Nord从未收到Netflix的投诉，并且他们努力让这类服务仅在订阅者在家看电视时不必关闭VPN时运行。“事实是我们的90%客户是国内连接的，”他说，这意味着如果他们要避开地理限制，他们可能会连接到另一个国家的服务器。（Netflix拒绝置评。）

这个解释听起来有点滑稽，至少因为世界上的Peacocks和YouTube TV似乎在不断与VPN IP地址进行游戏，以防止未经授权的流媒体。VPN评论网站和Reddit帖子上充满了如何玩弄这些平台的技巧。在美国，很容易使用VPN切换到不同州的服务器，以规避ESPN+对冰球比赛的地区黑屏。（ESPN发言人表示公司认真保护知识产权，并拥有识别可疑活动的技术。）当我遇到NordVPN法国国家经理Cyril Polac时，他分享的第一个市场见解与现场体育相关：“在法国，一级方程式赛车将由一个特定的私人频道播出，而这将非常昂贵，而在比利时你将找到完全相同的体育节目免费播出。”

当我向Okman转达这一点时，他毫不在意。他说：“我们并不否认这是一个使用案例，”他说。“只是这不是我们的重点。”

插图：Jon Han为彭博商业周刊绘制在过去的几年里，Nord和其他VPN服务商一直与 Roskomnadzor，俄罗斯联邦通信管理局发生冲突。“他们要求‘交出加密密钥’，而我们没有，”Okman回忆道。相反，该公司终止了与当地数据中心的合同，并于2019年初销毁了其服务器。俄罗斯人仍然可以通过非俄罗斯服务器连接到NordVPN，但在2021年9月，Roskomnadzor宣布 禁止访问 NordVPN、ExpressVPN和其他服务，暗示它们在在线分发毒品和儿童色情方面起到了作用。俄罗斯入侵乌克兰在六个月后开始。

类似的模式正在上演，各国政府试图加强对开放互联网的控制。去年夏天，印度颁布了一项新的 数据保留法，迫使NordVPN关闭了在印度的服务器，而该公司的网站长期以来一直在中国大陆被封锁。与此同时，随着伊朗、斯里兰卡、土耳其等地发生社会动荡和地缘政治问题，数据显示对VPN的需求持续激增。

然而，当我询问这些受影响的人群是否在下载NordVPN时，Okman说不是。相反，他们倾向于匆忙使用免费VPN，虽然不太安全，可能有风险，但可以快速访问Twitter和BBC。Nord确实会根据情况为处于风险中的记者和异见者提供免费VPN访问，但Okman表示公司无法向大众开放该服务。“我们的服务器会爆炸，”他说。Sabaliauskas说，他们曾短暂考虑为俄罗斯公民实施免费VPN计划，但乌克兰官员建议他们，俄罗斯人可能不会用它来组织抗议活动，而是像战争前那样上网冲浪。“我们选择不参与其中，”他说。

当Okman将对话从地缘政治转向平凡的网络威胁时，“我妈妈说，‘天哪，我收到这封电子邮件。这是诈骗吗？’”，很明显，爱德华·斯诺登类型的人不是Nord的目标受众。约40%的销售额来自美国，其次是其他民主市场，包括澳大利亚和英国。

在早些时候的电话中，Okman分享了关于Nord更高目标的不同看法。“我们没有惹恼政府。我们没有做任何激进的事情，”他说。然而，在另一个时刻，他表示，保护记者和自由斗士是他使命的核心，Nord与Access Now，一家数字权利组织密切合作。

但为该组织提供建议的律师Natalia Krapiva表示，她通常建议活动人士选择Mullvad、Proton和TunnelBear等VPN，而不是Nord。“它并不一定有什么问题，但我们对他们的安全审计了解不够，”她说。即使是她推荐的产品背后的人也警告说，它们并非万能药。“如果你是斯诺登，你的威胁模型相当高，而NSA在另一边——VPN根本无济于事，”Mullvad的Jonsson说。

那个 Nord 似乎更专注于建立一些新时代的诺顿，而不是颠覆克里姆林宫的互联网审查，这令人惊讶，尤其是考虑到 Okman 出生时苏联仍在监禁立陶宛持不同政见者，而 Sabaliauskas 的父母“总是说那是一个可怕的时代，我们永远不能再回到那里”，他告诉我。Okman 表示，他并没有将这段历史与他们开发的工具之间建立联系，这些工具有可能阻止威权政权筑起更多数字铁幕。

维尔纽斯摄影师：Kayla Kauffman 和 Felix Von Der OstenOkman 可能在淡化这种用例，以避免惹恼蜂窝，但他似乎更有动力将 Nord 扩展为一个全球品牌，并将维尔纽斯打造成一个科技中心，这可以说是一种不同类型的抗议，针对的是莫斯科。“你有所有这些在一个巨大转变中长大的人——把苏联赶出去。它很贫穷，”电商公司 Vinted 的首席执行官 Thomas Plantenga 说。“而你有像 Tomas [Okman] 和 Eimantas [Sabaliauskas] 这样充满活力的聪明人，他们只是想证明你可以从立陶宛建立东西。”

我从立陶宛经济和创新部长 Ausrine Armonaite 那里听到了类似的观点，她的办公室就在苏联曾用来监听电话和无线电通讯的苏维埃站对面。她关注 Nord 象征的本土创业精神，而不是 VPN 如何在地缘政治中发挥作用。维尔纽斯市长 Remigijus Simasius 也持类似观点，他的窗外悬挂着一幅巨大的横幅，上面写着“普京，海牙在等着你”，但在我们的对话中，他大部分时间都在推销该国蓬勃发展的科技行业。

尽管互联网审查变得更加激烈，但他们将越来越引起人们对VPN的关注，进而关注Nord的产品。当NetBlocks，一个广受关注的网络干扰跟踪器，发推文称约旦正在限制访问TikTok时，它推荐使用Surfshark来规避禁令。（创始人Alp Toker澄清说，这个认可是赞助的一部分，NetBlocks不比较VPN。）当意大利在三月底禁止访问ChatGPT时，Cybernews撰写了一篇关于最佳VPN解锁聊天机器人的文章。它将NordVPN排名第一。阅读下一篇：网络战降临毫无准备的摩尔多瓦