Приватность
Обновлено: 8 мая 2026
Главное: мы не пишем логи трафика. Мы не знаем какие сайты ты открываешь, какое видео смотришь, какие сообщения отправляешь. Сервер только пересылает зашифрованные пакеты.
Что мы храним
В нашей базе про твою коробку:
- Telegram-ник или email — для связи и доставки. Можно дать псевдоним.
- Серийник коробки — чтобы знать какая железка твоя.
- Ключи шифрования — нужны самой коробке для подключения к серверу.
- Список твоих кастомных доменов в whitelist — то что ты сам добавил через дашборд.
- Список MAC-адресов твоих устройств — для функции «вывести устройство из VPN». Имена устройств (типа «iPhone-Vasya») мы не храним — только заводские MAC-адреса и производителя (Apple/Samsung).
Что мы НЕ храним
- ✗ URL'ы которые ты посещаешь
- ✗ Содержимое HTTPS-трафика (мы физически не можем — это шифр)
- ✗ DNS запросы (резолвятся на твоей коробке через AdGuard, не у нас)
- ✗ Логи провайдера / истории браузера
- ✗ Имена твоих устройств (только MAC + производитель)
- ✗ Местоположение — только страна по IP-адресу подключения
Что коробка отправляет на сервер каждые 5 минут
- Сколько мегабайт прошло через VPN (для дашборда)
- Аптайм коробки (сколько работает без перезагрузки)
- Версия прошивки
- Список MAC-адресов в твоей сети (без имён)
- Загрузка процессора и памяти
- Возраст последнего handshake (чтобы знать жив ли тоннель)
Это нужно чтобы дашборд показывал актуальную инфу и я мог удалённо помочь если что-то сломалось.
Сколько храним
- Telemetry (графики использования) — 14 дней, потом удаляется автоматом
- Имена устройств в telemetry-снепшоте — 7 дней, потом обнуляется
- Audit log (кто когда что делал в админке) — 90 дней
- Заявки отклонённые/одобренные — 180 дней, потом scrub IP/email/имя
- Бэкапы базы — 7 daily + 4 weekly, GPG-шифрованы
- Nginx access-логи — 3 дня (нужны fail2ban для блокировки брутфорсеров)
Куда трафик ходит
Твой трафик через VPN заканчивается на нашем сервере в Германии (Frankfurt) и оттуда выходит в интернет. Сервер арендован у IONOS. Логи трафика отключены на уровне ядра iptables -m limit.
Российские сайты (Сбер, Госуслуги, банки, всё что в ipdeny.com RU) идут напрямую через твоего провайдера, минуя VPN — мы их не видим в принципе.
Кому передаём данные
Никому. MostBox — это я (один человек), не корпорация. Ни рекламные сети, ни аналитика, ни «партнёры» — нет такого.
Если придёт официальный запрос от российских госорганов — мы покажем что у нас в базе ровно то что выше: твой ник, серийник коробки, цифры использования. Ни одного URL'а ни одного запроса. Логов трафика нет физически.
Внешние ресурсы
Дашборд работает без внешних CDN:
- Шрифты Inter и JetBrains Mono — захостены у нас (
/get/fonts/*.woff2), никаких запросов к Google Fonts - Библиотеку qrcode.js — тоже у нас, никаких внешних CDN
Единственная внешняя ссылка — кнопка "2ip.ru" в инструкциях, открывается только если ты сам кликнешь, в новой вкладке.
Удалить мои данные
Напиши @mostbobot — удалю твою запись и все связанные данные в течение 24 часов. Коробку можешь оставить себе как dumb-роутер (после factory reset).
Безопасность
- HTTPS с Let's Encrypt cert (auto-renew, alert если <7 дней)
- Admin-токен через HttpOnly cookie (не доступен JS)
- Брутфорс защита через fail2ban + nginx rate-limits (10 попыток login / минуту / IP)
- База шифруется в бэкапе (GPG symmetric)
- Memory cgroup лимиты на сервисы (нельзя сожрать VPS)
- Health-check каждые 5 минут с алертом в Telegram