Hotspot Shield wurde 2008 von AnchorFree, Inc. ins Leben gerufen und gehört damit zu den am längsten betriebenen Consumer-VPN-Diensten. Das Unternehmen wurde 2019 in Pango umbenannt und 2020 von Aura übernommen, einem Digitalkonzern im Bereich Sicherheit, der von WndrCo und General Catalyst unterstützt wird. Mit Hauptsitz in Redwood City, Kalifornien, unterliegt Hotspot Shield der US-amerikanischen Jurisdiktion und ist damit Teil des Fünf-Augen-Geheimdienstverbunds. Der Dienst erlangte frühe Bekanntheit durch seine Rolle während der Arabischen-Frühling-Proteste, bei denen Aktivisten in Ägypten, Tunesien und Libyen ihn zur Umgehung staatlicher Zensur nutzten.
Das technisch prägende Merkmal von Hotspot Shield ist das proprietäre Catapult-Hydra-Protokoll. Es basiert auf TLS 1.2 mit ECDHE-Schlüsselaustausch und ist darauf ausgelegt, den Datentransport im verschlüsselten Tunnel zu optimieren, was zu Geschwindigkeiten führt, die in unabhängigen Tests regelmäßig zu den schnellsten gehören. VPNMentor verzeichnete Download-Geschwindigkeiten von über 200 Mbps auf US-Servern, und ProPrivacy stellte von europäischen Testpunkten aus Geschwindigkeiten im mittleren bis hohen 40-Mbps-Bereich fest und beschrieb sie als kaum von unverschlüsselten Verbindungen zu unterscheiden. Catapult Hydra ist jedoch Closed-Source. AnchorFree hält über 30 VPN-bezogene Patente auf die Technologie. Das Unternehmen gibt an, das Protokoll sei von Dritten sicherheitsgeprüft worden und sein SDK werde von mehr als 60 Prozent der großen Sicherheitsunternehmen genutzt. Die vollständigen Auditberichte wurden jedoch nicht öffentlich veröffentlicht, und unabhängige Prüfer wie ProPrivacy haben angemerkt, dass ihnen kein Nachweis dieser Audits vorliegt. Für Nutzer, die offene Standards bevorzugen, bietet Hotspot Shield auch WireGuard und IKEv2 an, wobei OpenVPN im Angebot auffälligerweise fehlt.
Das Servernetzwerk umfasst über 1.800 Server in mehr als 80 Ländern, mit Standortauswahl auf Stadtebene in den USA, Großbritannien, Kanada, Australien und mehreren europäischen Ländern. TechRadar stellte fest, dass das Netzwerk erfolgreich US-Netflix, BBC iPlayer, Amazon Prime Video und Disney+ entsperrte, obwohl einige regionale Dienste wie Hulu erkannt wurden. Für US-amerikanische und britische Standorte stehen dedizierte, für Streaming optimierte Server zur Verfügung. Torrenting ist im gesamten Netzwerk erlaubt, wobei AES-256-Bit-Verschlüsselung, ein Kill-Switch und DNS-Leak-Schutz während P2P-Sitzungen aktiv sind.
Das Datenschutzbild ist komplexer. Hotspot Shield gibt an, Nutzer-IP-Adressen nicht dauerhaft zu protokollieren, und erklärt, diese würden nur für die Dauer einer VPN-Sitzung gespeichert und danach gelöscht. Der Dienst erfasst jedoch Zeitstempel der Sitzungsdauer, anonymisierte Gerätekennungen, Datenvolumen und ungefähre Standortdaten. Die kostenlose Version ist deutlich invasiver, wobei anonymisierte Server- und Geräteinformationen mit Werbepartnern geteilt werden. Eine CSIRO-Studie aus dem Jahr 2016 ergab, dass die kostenlose Version das Nutzerverhalten für zielgerichtete Werbung nachverfolgte und AnchorFree über iFrames JavaScript-Code zu Werbezwecken einschleuste. Im Jahr 2017 reichte das Center for Democracy and Technology eine formelle Beschwerde bei der Federal Trade Commission ein und behauptete, Hotspot Shield habe nicht offengelegte Datenweitergaben, Verkehrsumleitungen zu E-Commerce-Partnerseiten und irreführende Geschäftspraktiken betrieben. AnchorFree wies die Vorwürfe zurück. Im Jahr 2018 entdeckte ein Sicherheitsforscher eine Schwachstelle, die Namen von WLAN-Netzwerken und Standortdaten der Nutzer offenlegte.
Seit der Übernahme durch Aura hat das Unternehmen seine Datenschutzrichtlinie überarbeitet und die Transparenz bezüglich seiner Datenpraktiken verbessert. Der Premium-Tarif zeigt keine Werbung und gibt keine Daten an Werbepartner weiter. Dennoch wurde die Datenschutzrichtlinie keinem umfassenden unabhängigen Audit unterzogen, was im Vergleich zu Wettbewerbern wie NordVPN und Surfshark, die mehrere Drittanbieter-Audits sowohl ihrer Infrastruktur als auch ihrer No-Logs-Versprechen abgeschlossen haben, eine erhebliche Lücke darstellt.
Die Preise liegen über dem Branchendurchschnitt. Monatliche Tarife beginnen bei 12,99 USD, Jahrestarife kosten 7,99 USD pro Monat, und Drei-Jahres-Tarife senken die Kosten auf etwa 2,99 USD pro Monat. Eine Lifetime-Option ist für 165 USD erhältlich. Zahlungsmöglichkeiten beschränken sich auf Kreditkarten und PayPal; Kryptowährungen werden nicht akzeptiert. Die kostenlose Version bietet unbegrenztes Datenvolumen auf Desktop-Geräten, schränkt Nutzer jedoch auf ein einziges Gerät und eine Handvoll Serverstandorte ein und schaltet auf Mobilgeräten Videowerbung ein.
Hotspot Shield ist ein leistungsfähiges VPN für geschwindigkeitsabhängige Aufgaben wie Streaming und das Herunterladen großer Dateien. Das Catapult-Hydra-Protokoll liefert genuinen beeindruckenden Durchsatz. Die Kombination aus US-amerikanischer Jurisdiktion, einem proprietären Kernprotokoll ohne öffentlich überprüfbare Audits und einer dokumentierten Geschichte von Datenschutzverstößen macht es jedoch nicht zur besten Wahl für Nutzer, bei denen Anonymität und Datenschutz an erster Stelle stehen. Es besetzt eine klar definierte Nische: Hochleistung und Streaming-Zugang als primäre Ziele, mit Datenschutz als nachrangigem Aspekt.