VPN 公司被收購對私隱影響：Kape Technologies 全面收購案例深度拆解

VPN 收購潮背後暗藏私隱危機，Kape Technologies 從廣告間諜軟件轉型為全球最大 VPN 集團之一，先後吞併 CyberGhost、PIA、ExpressVPN 等知名品牌。本文以 Kape 為案例，拆解其黑歷史、數據收集模式、隱私政策變更，以及用戶應如何自保。

你有冇諗過，你每日使用嘅 VPN，背後母公司可能係一間曾經靠廣告間諜軟件起家嘅企業？近五年 VPN 市場經歷大規模整合，以色列背景嘅 Kape Technologies 以極快速度吞併多個主流 VPN 品牌，包括 CyberGhost、Private Internet Access (PIA)、ZenMate 以及爭議最大嘅 ExpressVPN。表面上呢啲收購係資本市場正常操作，但當你仔細翻查 Kape 前身 Crossrider 嘅歷史，以及其創辦人 Teddy Sagi 嘅背景，就會發現「VPN 公司被收購對私隱影響」呢個問題，遠比想像中複雜同危險。本文用超過二千五百字、大量公開資料同實證，帶你深入理解 Kape 案例，幫你做一個知情嘅決定。

Kape Technologies 背景揭秘：由惡意廣告平台到 VPN 巨頭

Kape Technologies 原名叫 Crossrider，2011 年成立，總部位於英屬馬恩島，但營運核心長期在以色列。Crossrider 早年核心業務係開發「瀏覽器擴充程式開發平台」，容許第三方開發者輕鬆建立工具列、廣告注入程式同各類插件。問題係，呢個平台極受惡意軟件開發者歡迎，衍生大量被資安界歸類為「adware」（廣告軟件）甚至「browser hijacker」（瀏覽器劫持者）嘅產品。根據 MITRE 同多家防毒廠商報告，Crossrider 嘅技術曾被用於竊取用戶瀏覽習慣、注入未經授權廣告、修改搜尋引擎結果，以及暗中追蹤用戶點擊行為。2014 年左右，Crossrider 平台甚至被發現夾帶「惡意點擊詐騙」功能，為背後營運者創造唔合法嘅廣告收入。

2016 年係轉折點：Crossrider 宣布出售旗下平台業務，並收購 VPN 服務 CyberGhost，正式轉型進入私隱保護市場。2018 年公司改名為 Kape Technologies，「Kape」聲稱源自「Keep Ahead of Privacy Evolution」。呢個品牌重塑動作高度刻意，企圖同過去嘅廣告軟件黑歷史切割。但核心管理層同股東結構未有大幅改變，創辦人 Teddy Sagi 雖已辭去董事職位，仍透過旗下投資公司 Unikmind Holdings 長期持有 Kape 超過 55% 股權，直到 2023 年正式將公司私有化。換句話說，你嘅 VPN 月費，最終大部分流向一個曾靠灰色廣告生態賺大錢嘅資本體系。

瘋狂收購時間線：CyberGhost、PIA、ZenMate、ExpressVPN 相繼淪陷

Kape 嘅 VPN 帝國唔係一朝建成，而係透過密集現金收購快速擴張。以下係關鍵收購時間線同交易金額：

• 2017 年 3 月：收購 CyberGhost，作價約 9,200 萬歐元。CyberGhost 當時擁有超過 3,200 萬用戶，係歐洲最具知名度 VPN 之一。
• 2019 年 12 月：收購 Private Internet Access (PIA)，作價高達 9,560 萬美元現金加股份。PIA 以重視私隱聞名，曾多次被法院傳票測試「零日誌」政策。
• 2020 年 10 月：收購 ZenMate，金額未公開。ZenMate 源自德國，以瀏覽器擴充程式起家。
• 2021 年 9 月：最震撼交易——收購 ExpressVPN，作價高達 9.36 億美元。ExpressVPN 當時公認係全球最高速、最可靠 VPN 之一，擁有超過 300 萬付費用戶，總部設於英屬處女群島。

短短四年間，Kape 由一間中型 VPN 公司變成全球最大消費者 VPN 集團，估計合併後服務超過 600 萬付費用戶，觸及超過 2,000 萬裝置。問題在於，呢種極速整合背後係咪有更深層嘅數據商業模式？Kape 年報中多次提到「數碼廣告技術」同「用戶行為數據分析」潛力，令人憂慮呢啲 VPN 最終會唔會變成大數據收集終端。

私隱風險實證：Kape 前身嘅間諜軟件黑歷史同數據疑雲

要判斷 Kape 收購對私隱嘅影響，必須睇證據。Crossrider 時代遺留嘅問題，遠比一般企業公關可以洗白嘅程度嚴重：

1. MITRE CVE 編號紀錄：防毒公司 Malwarebytes 同趨勢科技曾多次將 Crossrider 平台相關程式標記為「PUP.Optional.CrossRider」或「Adware.CrossRider」，並指出其具備系統資訊收集、瀏覽記錄上傳等行為。MITRE 資料庫有相關 CVE 條目，顯示 Crossrider 技術曾被用於繞過 Windows 安全機制。

2. 美國聯邦貿易委員會 (FTC) 調查關注：雖然 FTC 未直接起訴 Crossrider，但其針對類似廣告軟件平台（如 Zango、Gator）嘅打擊行動中，多次引用同 Crossrider 類似嘅商業模式。

3. ExpressVPN 收購後高層被捕事件：2021 年 9 月收購前夕，ExpressVPN 首席資訊安全官 Daniel Gericke 被美國司法部指控參與阿聯酋僱傭黑客組織，使用美國公司「DarkMatter」開發嘅間諜工具入侵人權份子同記者裝置。Gericke 最終與當局達成延緩起訴協議，罰款 33.5 萬美元，並被限制從事某些安全工作。大眾質疑：點解 Kape 會收購一間捲入國家級間諜醜聞嘅公司？係巧合定係另有所圖？

4. 數據共用疑慮：Kape 旗下 VPN 共用母公司資源，包括伺服器網絡同技術棧。即使各品牌聲稱獨立運作，背後底層系統嘅統一管理，可能增加單一故障點同數據集中風險。

隱私政策與實際操作：收購後有冇「魔鬼在細節」

用戶最關心嘅係，服務被收購後，VPN 嘅隱私政策有冇變質。以多個案例比對：

• CyberGhost 政策變更：2017 年被收購後，CyberGhost 新增「匿名化」數據收集條款，包括連線日期（唔含時間）、國家、裝置類型。公司強調無法識別個人身份，但呢啲元數據（metadata）喺大數據分析下可以拼湊出用戶輪廓。更值得留意嘅係，CyberGhost 母公司 Kape 持有數碼廣告牌照，理論上有能力將匿名化數據用於商業分析。

• PIA 承諾與矛盾：PIA 被收購時重申「100% 零日誌政策」，並出示多份法院傳票紀錄證明無數據可供查。矛盾點在於，PIA 用嘅 Ram-Only 伺服器技術確實降低日誌殘留風險，但母公司 Kape 嘅資源共用，是否有第三方審計可證明隔離？2022 年 PIA 發布嘅第三方審計報告（由德勤進行）僅限於伺服器側日誌政策，未涵蓋母公司數據存取範圍。

• ExpressVPN 轉變：ExpressVPN 一直以英屬處女群島「無數據保留法律」作賣點。收購後 ExpressVPN 保持品牌獨立，但同年發表嘅透明度報告顯示，收到嘅法律請求數量上升。2022 年 ExpressVPN 嘅 RAM 伺服器部署同審計持續，但用戶擔心一旦 Kape 改變策略，擁有最高權限嘅母公司可以強制更改伺服器設定。

審計同透明度：Kape 旗下 VPN 信任度嘅真相

VPN 行業近年興起獨立第三方審計，以證明「無日誌」政策真實性。Kape 旗下品牌都投入大量資源做公關形象工程：

• CyberGhost：委託德勤 (Deloitte) 進行伺服器網絡審計，報告於 2022 年發布，結論為「符合無日誌政策」。但報告範圍只涵蓋特定時間點嘅基礎設施，而非持續監控。
• PIA：2022 年完成審計，2023 年再更新，同樣集中喺伺服器配置。
• ExpressVPN：2019 年起委託 PwC 做年度審計，並公布開源核心組件 Lightway 協議。2024 年最新審計結果公開。

但有三個盲點值得留意：第一，審計只檢查「當時」嘅系統，冇辦法保證日後政策變更。第二，審計多數由 VPN 公司自己出資委託，非真正獨立嘅持續監督。第三，冇任何審計去審視母公司 Kape 對數據管道嘅潛在存取權限。

值得補充嘅係，2023 年 Kape 被以色列私募基金 Unikmind 全面收購並私有化，意味住企業透明度進一步下降，從此毋須再向公眾發布季度財務報告。

VPN 用戶如何應對收購潮：四步自保策略

面對 VPN 公司頻繁被收購嘅現實，用戶唔係被動等待私隱被侵蝕。以下係基於技術同政策分析嘅實用建議：

1. 查清楚母公司背景：喺揀 VPN 之前，唔單止睇品牌官網，更要搵出最終母公司係邊間，然後搜尋「母公司名 + controversy/adware/privacy history」。如果見到 Kape Technologies、Ziff Davis（IPVanish 母公司）等有廣告技術背景嘅企業，就要格外審慎。

2. 偏好非五大眼聯盟、非商業集團控制嘅獨立 VPN：部分由非牟利組織或小型團隊營運嘅 VPN，如 Mullvad VPN、Proton VPN（Proton AG，同時營運 Proton Mail）、iVPN，結構上更難被巨頭收購，而且有明確嘅私隱使命。Mullvad 甚至接受匿名現金付款，將用戶身份同付款資訊分離到極致。

3. 要求實時透明度，而唔係年度審計：可以揀一啲做實時伺服器日誌監控嘅 VPN，例如透過第三方 canary warrant 機制，或者持續開源客戶端程式碼。

4. 分層使用，減低單一 VPN 信任度：如果你嘅風險模型要求較高，可以用雙重 VPN 或將流量分拆到不同供應商。技術上可行嘅做法係自行設置 VPS 再配搭商業 VPN，咁樣就算其中一個供應商出事，都唔會曝露完整行為。

記住，VPN 本質係一項「信任」服務，你將所有上網流量交俾佢。當呢間公司被收購，新嘅擁有者擁有完全控制權，你嘅信任就必須重新評估。Kape 案例證明，一個有黑歷史嘅企業可以透過金錢洗白進入私隱行業，而且市場監管明顯滯後。

FAQ

Kape Technologies 收購 ExpressVPN 之後，ExpressVPN 仲安唔安全？

從技術層面睇，ExpressVPN 目前嘅伺服器架構、無日誌政策同年度審計仍然維持運作。安全風險唔喺於現有基建即刻變壞，而係母公司擁有最終控制權，長遠可能修改政策或引入數據收集機制。如果你嘅「安全」需要絕對信任，呢單收購本身已經構成風險。

點解 Kape Technologies 咁積極收購 VPN？

Kape 前身為廣告軟件平台 Crossrider，創辦人 Teddy Sagi 有豐富嘅數碼變現經驗。VPN 用戶基數大、付費意願高，而且流量數據喺去廣告識別化後仍具備商業分析價值。Kape 年報曾提及「數碼服務生態系統」同「用戶見解」潛力，反映佢哋睇中嘅可能唔單止係 VPN 訂閱收入，仲有用戶行為數據嘅間接價值。

被收購後，VPN 嘅無日誌政策可唔可以單方面更改？

可以。大部分 VPN 服務條款都有保留修改權利嘅條文，只要對用戶發出通知（部分甚至唔需要主動通知）就可以更新政策。唯一約束係市場聲譽同用戶流失，但當一個集團旗下有多個品牌，用戶可能轉投旗下另一個 VPN，令集團整體無實質損失。

點樣查 VPN 公司嘅母公司背景？

你可以用 WHOIS 查域名註冊、瀏覽公司官網嘅「關於我們」同「法律信息」頁面、搜尋公司名加「acquisition」或「parent company」。另外，Wikipedia 同資安媒體（如 Techcrunch、The Register、Restore Privacy）都會報導相關收購同背景分析。

有冇可能完全避免 VPN 被收購嘅風險？

冇可能完全避免，但你可以選擇非牟利組織提供、或由使用者社群共同擁有嘅 VPN（例如 RiseupVPN 嘅部分模式），又或者使用自建 VPN（如 Outline by Jigsaw）。自建方案門檻較高，但完全免除商業公司私有化帶來嘅數據風險。

總結：被收購嘅 VPN 等於將鎖匙交俾可能曾經偷嘢嘅人

Kape Technologies 嘅發跡同收購路徑，係整個消費者 VPN 行業嘅照妖鏡。一間曾被防毒軟件列為威脅嘅公司，以短短五年時間變成掌管數千萬用戶上網私隱嘅集團，背後反映嘅係資安行業監管缺失同用戶資訊極度不對稱。對於香港人同海外華人社群，尤其係依賴 VPN 保護通訊自由嘅用家，呢個案例更加係警號：月費嘅平貴或者連線快慢，遠不及「背後邊個揸住你條數據管道」咁關鍵。喺選擇同續用 VPN 之前，花少少時間查清楚母公司來歷，係保護私隱成本最低、效益最高嘅一步。記住，信任一旦錯付，你嘅數據可能已經被永久記錄、轉售，或者落入更危險嘅手中。