xmr.club
EN 中文 ES RU
← все гайды
гайд · разбор

Как самостоятельно оценить privacy-сервис

Большинство выбирает privacy-сервисы по сарафану и маркетингу. Репутацию покупают, маркетинг всегда тянет в свою сторону. Каждую запись каталога мы оцениваем по публичному рубрику (/methodology), но новые сервисы появляются каждую неделю — оценивать должен уметь и вы. Эта статья — тот же чек-лист, сжатый, чтобы прогнать его за 30 минут.

Вопрос до тестов

Прежде чем что-то проверять: а этот сервис вообще нужен лично мне? Половина privacy-покупок решает проблему, которой у человека нет. Сначала сверьте сервис со своей моделью угроз. Если no-KYC VPN вам ничего не даёт, потому что провайдер не угроза — на этом и остановитесь.

Шаг 1 — Прозрачность оператора (5 мин)

  • Кто управляет? Найдите хотя бы одно реальное имя, регистрационный номер компании или псевдонимный аккаунт с многолетней историей. Анонимно-но-активно ок; анонимно-и-свежо — красный флаг.
  • Сколько домену? WHOIS + Wayback Machine. Домены младше 6 месяцев, которые уже продают платные тарифы, требуют отдельной проверки.
  • Открыт ли код? Open-source не обязателен, но отсутствие должно компенсироваться другим якорем доверия.
  • Были ли инциденты? Гугл «{сервис} hacked», «{сервис} exit-scam», «{сервис} freezes funds». Читайте треды полностью.

Шаг 2 — Privacy policy (5 мин)

  • Что собирают? Ищите «IP addresses», «device fingerprints», «browser identifiers». Заявление «no-logs», противоречащее политике = ложь.
  • Сколько хранят? «Хранится бессрочно» или «по требованию закона» обычно шире, чем кажется — то есть всё и навсегда.
  • У кого доступ? Подрядчики, платёжные процессоры, «запросы правоохранителей».
  • Юрисдикция. Где зарегистрирована компания? Операторы Five-Eyes / Fourteen-Eyes давят данными иначе, чем не-альянсовые юрисдикции.

Шаг 3 — Тест регистрации (10 мин)

Чистая Tor-сессия + одноразовая почта. Скриншоты на каждом шаге.

  1. Требует ли регистрация email? Телефон? Документы? Всё, что выходит за «логин + пароль», снижает потолок приватности.
  2. Попробуйте одноразовый email. Принимают? Некоторые сервисы молча отбраковывают одноразовые домены по фингерпринту.
  3. Запишите провайдера captcha (Cloudflare / Google / hCaptcha) — все они видят IP в момент регистрации.
  4. Грузит ли страница регистрации сторонний JS? Откройте Dev Tools → Network → ищите analytics, Stripe-fingerprint, FB Pixel.

Шаг 4 — Тест депозита (5 мин)

  • Внесите маленькую сумму (<$20). XMR, если принимают; иначе BTC.
  • Проверьте: всплывает ли требование KYC после депозита? (Типичный анти-паттерн у бирж.)
  • Подтвердите, что деньги пришли на указанный адрес, а не на проксированный «redirect».
  • Отметьте реальный settlement: native, wrapped или IOU? «Мы отправляем вам XMR» порой значит «мы кредитуем баланс, который можно обменять обратно на XMR».

Шаг 5 — Тест вывода (10 мин)

Самый критичный шаг. Privacy-постура — это то, что переживает вывод:

  1. Выведите на свежий адрес (сервис его никогда не видел).
  2. Требуют ли при выводе дополнительный KYC? «Подтвердите личность, чтобы вывести» = ретроактивный KYC = понижение.
  3. Заморожен ли вывод? Дольше ~24 часов для мелкой суммы — жёлтый флаг, дольше 72 часов без объяснений — красный.
  4. Утекает ли в письме-подтверждении информация (история, баланс, исходный IP)?
  5. Сделайте второй вывод через несколько дней. Скрытые KYC-триггеры порой включаются после порогов по объёму.

Шаг 6 — Аудит + лицензии (5 мин)

  • Есть ли независимый аудит? Читайте отчёт, а не маркетинг. Аудиты протухают — старше 18 месяцев бесполезны.
  • Compliance-постура. Публикует ли transparency report? Число запросов от властей? Живы ли warrant canaries?
  • Лицензия кода. Сигнал доверия: AGPL > GPL > MIT > закрытая.
  • Для бирж/кастоди: регулярность proof-of-reserves. Самопровозглашённое слабее, чем подтверждённое третьей стороной.

Шаг 7 — Перекрёстная проверка репутации (5 мин)

  • Reddit r/privacy, r/Monero, r/PrivacyToolsIO за последние 12 месяцев.
  • Trustpilot / BBB / Sitejabber — жалобы на пропажу средств, со скидкой на review-farming.
  • Сверка с другими privacy-каталогами: KYCnot.me, PrivacyGuides, Monerica. Если несколько расходятся с самооценкой сервиса — взвесьте консенсус.
  • Сверка с нами: ищите оператора в audit log и архиве xmr.club.

Поставьте оценку

Мапьте находки в рубрику xmr.club:

  • Все семь шагов пройдены чисто? Скорее всего A-tier. Перепроверьте через 12 месяцев.
  • Один компромисс (email при регистрации, мелкий оператор или свежий домен)? B-tier. Подходит под некоторые модели угроз.
  • KYC-creep на выводе, пробел в аудите или нерешённые жалобы? C-tier. Используйте осторожно, не для крупных сумм.
  • Активные сообщения о пропаже средств или враждебная юрисдикция? Не используйте. Сообщите нам — поставим как предупреждение.

Сделали работу — пришлите её

Если оценили сервис, которого у нас нет, отправьте находки через /submit. Мы перепрогоняем чек-лист перед публикацией, но предтестированные сабмиты заходят быстрее, и в кураторских заметках вас укажут.

Picks

  • Tor Browser — Шаг 3 — чистая сессия, ровный фингерпринт. Обязательно.
  • Tuta Mail — Шаг 3 — источник одноразовой почты. Принимают большинство no-KYC регистраций.
  • Feather — Шаги 4 + 5 — депозит/вывод. Native XMR + Tor.
  • агрегатор kyc.rip — Шаг 4 — мелкий тест-депозит. Мульти-движок, без наценки.