BitVPS

Hospedagem VPS anônima — o que "anônimo" realmente significa

"Anónimo" não é o mesmo que "privado", e nenhum dos dois é o mesmo que "sem KYC". O anonimato é operacional — não é possível identificá-lo como o operador a partir dos dados disponíveis. A privacidade é contratual — o fornecedor compromete-se a não partilhar o que sabe. Sem KYC é um subconjunto específico do anonimato na camada de registo. Os três importam; a maior parte do marketing de hospedagem confunde-os. Esta página separa-os e percorre as quatro camadas do anonimato de VPS que realmente determinam a sua exposição.

Sem identidade obrigatória XMR / BTC aceitos Compatível com Tor Conta opcional
Anonymous VPS hosting

As quatro camadas do anonimato VPS

O anonimato não reside num só lugar; reside em quatro. Dois são tarefa do fornecedor, dois são seus. A BitVPS trata estruturalmente dos dois primeiros; os dois seguintes exigem uma disciplina operacional que nenhum fornecedor pode fazer por si.

1Dados de cadastro — o que o provedor pede

A informação recolhida quando estabelece a relação: e-mail, nome, morada, telefone, documento de identificação, dados de faturação. A BitVPS pede um único campo — um e-mail funcional — e nunca valida o nome, a morada ou o telefone porque não os recolhe. O formulário de registo são dois menus suspensos e uma caixa de e-mail. Nada é enriquecido em bases de dados de terceiros. Esta é a camada sem KYC; é necessária, mas não suficiente, para o anonimato.

2Rastro de pagamento — o que o dinheiro revela

Cada pagamento deixa um rasto algures. Um cartão cria um registo cobrável no seu banco emissor. Uma transferência bancária cria um registo SWIFT. O Bitcoin cria um grafo público de UTXO. O Monero cria um compromisso opaco sem origem visível. A BitVPS aceita mais de 20 criptomoedas; o XMR é a única com privacidade ao nível do protocolo na camada de pagamento. BTC, LTC, ETH, USDT, USDC, SOL, TRX, TON, XRP, DOGE, POL, BCH, DASH, ZEC são pseudónimos — fortes se usar carteiras novas, fracos se levantar diretamente de uma exchange com KYC. Nunca aceitamos moeda fiduciária, pelo que a vigilância das redes de cartões está estruturalmente ausente.

3Atividade de rede — como você acessa o VPS

Cada sessão SSH e início de sessão no painel deixa um rasto do seu lado. Se fizer SSH a partir de um IP residencial que o seu ISP doméstico lhe possa atribuir, o anonimato ao nível da rede desaparece independentemente do que o VPS saiba. A BitVPS não bloqueia tráfego Tor ou VPN no formulário de implementação, no painel nem no próprio VPS; a disciplina operacional de encaminhar através do Tor (apenas Tor ou Tor → VPN → SSH) cabe-lhe a si manter. Registamos os IP das sessões do painel durante 24 horas para proteção contra força bruta — retenção curta, âmbito deliberadamente limitado.

4Metadados operacionais — logs, tickets de suporte, os pequenos detalhes

O texto dos tickets de suporte, o conteúdo das denúncias de abuso apresentadas contra si, a carga de trabalho em execução no VPS, o IP público a que os seus serviços se associam e quaisquer fugas que a própria carga de trabalho produza (strings de banner, impressões digitais de início de sessão, certificados SSL, dados EXIF, cookies de análise). Os tickets e a correspondência de abuso estão sujeitos à nossa retenção de 90 dias; as fugas da carga de trabalho estão fora do nosso controlo. Esta é a camada que a maioria dos utilizadores subestima, e a primeira que um adversário determinado vai atacar.

O que é anônimo, o que não é

Uma tabela simples de todas as categorias de dados que atravessam um VPS da BitVPS, e o que fazemos com elas. Sem texto de marketing: apenas três colunas — o que vemos, o que registamos, o que partilhamos.

Camada O que NÓS vemos O que REGISTRAMOS O que COMPARTILHAMOS
E-mail de cadastro O endereço que você fornece Armazenado no cadastro do cliente Somente sob ordem judicial local válida
Nome real / ID / telefone Nada — nunca coletado Nada — nunca coletado Não podemos compartilhar o que nunca tivemos
Pagamento ID de tx on-chain, endereço de recebimento, quantia Linha de fatura + ID de tx, 7 anos (direito societário) Somente sob ordem judicial local válida
IP de sessão do painel IP de origem do login 24 horas (antibruteforce) Somente sob ordem judicial local válida
Ações do painel Provisionar / reiniciar / reconstruir / snapshot 90 dias (abuso / segurança) Somente sob ordem judicial local válida
Conexão SSH ao seu VPS Nada — termina dentro da VM convidada Nada — não no host Não podemos compartilhar o que não vemos
Tráfego da NIC do cliente Apenas contadores de bytes por porta Sem netflow, sem captura de pacotes Não há dados para compartilhar
Tickets de suporte Conteúdo que você nos envia 2 anos (continuidade do serviço) Somente sob ordem judicial local válida

Higiene operacional dicas

O fornecedor pode limpar as camadas 1 e 2; você tem de limpar a 3 e a 4. Abaixo: a disciplina que faz a diferença entre "anónimo no papel" e "anónimo na prática".

Disciplina de rede:

  • Aceda ao formulário de implementação, ao painel e ao VPS através do <strong>Tor</strong>. O formulário de implementação funciona sob Tor sem alterações; não mostramos CAPTCHA, não bloqueamos saídas Tor e não enriquecemos o IP de origem. Para SSH, Tor → SOCKS5 → ssh é a cadeia mais limpa (use <code>torsocks ssh</code> ou <code>ProxyCommand nc -X 5 -x 127.0.0.1:9050 %h %p</code>).
  • Ou execute <strong>Tor → VPN → SSH</strong> se precisar de um IP de saída estável para um serviço que não tolere o conjunto de saídas Tor. Pague o VPN em Monero e use um VPN separado por VPS.
  • Evite fazer SSH diretamente a partir de um IP atribuível ao seu ISP residencial. Faça-o uma vez e os registos NetFlow do seu ISP (que não controla) ligam para sempre o IP público do VPS ao seu circuito doméstico.

Disciplina de carteira:

  • Use uma <strong>carteira nova por fatura</strong> para pagamentos em Bitcoin, ou pague em Monero (que torna a "carteira nova" o padrão em vez da exceção).
  • Se tiver de levantar de uma exchange com KYC, encaminhe através de um coinjoin (Wasabi, JoinMarket) ou converta para Monero através de um swap que não exija KYC.
  • Não consolide UTXOs de vários reembolsos da BitVPS de volta numa única carteira — mantê-los não consolidados é privacidade gratuita.

Disciplina de e-mail:

  • Use um <strong>e-mail separado por VPS</strong>. Os aliases do SimpleLogin, do AnonAddy e do Proton funcionam todos; e também as caixas de entrada descartáveis se não precisar de receber e-mails futuros após a implementação.
  • Não associe o e-mail de compra do VPS a mais nada — nenhuma outra conta, nenhum e-mail de recuperação, nenhuma entrada partilhada num gestor de palavras-passe que o correlacionasse com a sua identidade real.

Disciplina de carga de trabalho:

  • Audite o que o seu <em>serviço</em> emite. Strings de banner (<code>Server: nginx/1.24.0 (Ubuntu)</code>), certificados HTTPS (com o seu nome real no campo "subject"), análises incorporadas, EXIF em imagens carregadas, rastreadores de erros JS — qualquer um destes pode reidentificá-lo mais depressa do que o fornecedor do VPS.
  • Remova os metadados antes de publicar. Use <code>exiftool -all=</code> em imagens, <code>pdftk</code> para PDFs e desative <em>qualquer</em> JS de terceiros que comunique com o exterior a partir de um site público.

O que a VPS anônima NÃO protege contra

A secção honesta. O VPS anónimo é uma ferramenta útil com um modelo de ameaça definido. Abaixo: as ameaças que ele não resolve. Se alguma destas corresponder ao seu adversário, reforce o VPS com as defesas adicionais mencionadas.

Em português claro: O VPS anónimo protege contra "a empresa de hospedagem saber quem você é". Não protege contra todos os outros que possam estar a observar a rede ou a carga de trabalho. Faça a modelação de ameaças em conformidade.

Adversários passivos globais. Um adversário passivo global (GPA) — tipicamente uma agência de inteligência de sinais com ampla capacidade de observação da rede — pode correlacionar os tempos de entrada e saída do Tor, desanonimizar fluxos de longa duração por análise de padrões de tráfego e ligar o IP público do seu VPS de volta, através do circuito Tor, ao seu ISP residencial sob densidade de observação suficiente. O VPS anónimo nada faz para derrotar um GPA. Defender-se de um GPA exige um conjunto de ferramentas diferente (Tails, mixnets, conectividade intermitente, disciplina OPSEC muito para além da escolha de hospedagem).

Canais laterais através da própria carga de trabalho. Se o serviço público em execução no seu VPS anónimo revelar a sua identidade através de uma impressão digital de início de sessão, de um estilo de escrita único, de uma tag de análise incorporada que se esqueceu de remover, ou de um único tweet que mencione o IP — o anonimato desmorona-se independentemente de quão limpa tenha sido a compra do VPS. Este é o modo de falha mais comum que vemos nas análises post-mortem; a carga de trabalho é o elo mais fraco.

Metadados em nível de ISP se você fizer SSH diretamente. O seu ISP doméstico regista que se ligou ao IP público do VPS neste momento, com este volume, com este protocolo. Mesmo sem captura de pacotes, os metadados ao nível de NetFlow bastam para ligar "o VPS A fez ruído" com "o assinante X estava online e ligou-se a A no mesmo instante". A solução é não fazer SSH a partir de uma ligação doméstica: encaminhe através do Tor ou de um VPN que tenha adquirido separadamente.

Imagens de disco forenses. Um VPS reside em hardware físico num rack. Se o disco subjacente for copiado através de uma ordem judicial ou de introspeção do hipervisor, tudo o que armazenou sem encriptação é recuperável. Encripte os dados sensíveis em repouso <em>dentro do guest</em> com chaves na sua posse (LUKS, dm-crypt com pedido de palavra-passe no arranque, encriptação ao nível de ficheiro como age ou gocryptfs). O anonimato da compra do VPS não protege o que está no disco.

Divulgação compelida do conteúdo de e-mails. O seu e-mail de registo, mesmo no Proton ou no Tutanota, reside num fornecedor com a sua própria jurisdição e as suas próprias obrigações perante ordens judiciais. Se esse fornecedor for obrigado a entregar o conteúdo da caixa de entrada, isso incluiria os seus e-mails de implementação da BitVPS (que contêm o IP do VPS). Encripte o correio em repouso com PGP sempre que possível; considere correio auto-hospedado por trás do Tor para os perfis de maior paranoia.

VPS anônimo Perguntas Frequentes

Oito perguntas que compradores e jornalistas nos fazem mais sobre as propriedades de anonimato de um VPS da BitVPS.

What's the difference between an "anonymous VPS" and a "private VPS"?
Anonymity is operational — you cannot be identified as the operator from the available data. Privacy is contractual — the provider commits not to share what they know. They are different properties; you can have one without the other. BitVPS ships both: the no-KYC signup minimises what we collect (anonymity), and our Privacy Policy plus the warrant canary commit us to disclose only on valid local-jurisdiction process (privacy). Most providers conflate the two; we separate them on purpose.
If I sign up with a Proton email and pay in Monero, am I fully anonymous?
Mostly — but read the four-layer table on this page. The signup data layer is anonymised (Proton handle, no other identifiers), and the payment-trail layer is anonymised (Monero is private at protocol level). The two remaining layers — network activity and operational metadata — are operator-controlled. Your SSH source IP, the public IP your service runs from, your login fingerprint and any leaks from the workload itself can re-identify you regardless. Anonymity is layered.
Do you require an account, or is signup truly accountless?
Truly accountless. You can pay an invoice from /deploy/, receive SSH credentials by email and never log into the panel. The account exists if you want one (snapshots, dashboard, re-deploy buttons) but it is optional. A surprising number of long-tenure customers — including ones running 20+ VPS — have never claimed a panel account.
Can I use Tor to access the deploy form and the panel?
Yes, both work over Tor without modification. We do not block Tor exit IPs at the WAF and we do not show CAPTCHAs on legitimate Tor traffic. The panel session cookie is set on the response so the browser can keep you logged in across pages; everything else is HTML over HTTPS. We have a hidden-service mirror on the roadmap; the clearnet path over Tor is fully supported in the meantime.
Do you log SSH connections, panel logins or VPS console access?
We log panel actions (provision, reboot, rebuild, snapshot) for 90 days for abuse and security investigation, and panel session source IPs for 24 hours for brute-force protection. We do not log SSH connections to your VPS — those terminate inside your guest, not our infrastructure. NIC mirroring is off; we do not run netflow on customer traffic. Details and retention table are in the Privacy Policy.
Can my provider be compelled to identify me retroactively?
Only with the data we have. A binding court order from our jurisdiction (Saint Kitts and Nevis) or the local jurisdiction where the datacenter sits could compel us to disclose what we hold. What we hold for an anonymous-signup customer is: the email you signed up with, the on-chain transaction id of your payment, the deploy timestamps, and panel action logs (90 days). We do not have a name, an ID, a phone number or a billing address to disclose. Our warrant canary documents the count.
What about side-channel re-identification through my VPS's service?
This is the threat model most users underestimate. If the public website you host on the VPS leaks your real identity (login fingerprint, browser session, content metadata, EXIF, JS analytics that you forgot to remove, a single tweet that mentions the IP), the anonymity of the VPS purchase becomes irrelevant. The VPS is anonymous; the service running on it is whatever you configure it to be. Audit your workload, not just your provider.
Do you accept email aliases (SimpleLogin, AnonAddy, Proton aliases)?
Yes, all three plus self-hosted aliases and disposable inboxes. We do not validate domain reputation and we do not enrich the email address against any third-party database. The only requirement is that you can read the deploy email — anything that delivers SMTP works.

VPS anônimo, dentro dos limites declarados.

Cinco níveis, quatro jurisdições, sem ID, sem telefone, conta opcional, compatível com Tor. Pague com qualquer uma das 20+ criptomoedas disponíveis.