Foykon

Хостер может с Вашим VPN сделать все, что угодно, но в 99% случаев ему это не надо, если только Вы не медийная личность (а там сами понимаете, ради одного такого целый самолет посадили).
Подключение через VPS ничем не отличается для браузера от обычного подключения - пароли так же будут защищаться, хотя замечание от rPman - оно имеет значение :) Но это опять же если Вы медийная личность - ради обычного человека никто так хлопотать не будет...

https защищает.. но, большинство атак - это атака не на софт или железо, а на человека перед экраном, на простой фишинг попадаются даже опытные (много ли людей ВСЕГДА смотрят на строку адреса?).. да у провайдера vpn мало способов обмануть тут пользователя, но они есть.

Напоминаю, что при установке софта от vpn сервера существует возможность (не факт что ее эксплуатируют но техническая возможность есть) установить на машине (только на нее но не на машины в сети!) корневые сертификаты, которые позволят серверу совершить атаку man-in-the-middle на https протокол и получать к нему доступ не только для чтения но и его модификации... браузеры с этим тоже как то борятся, но и браузер можно подменить или сломать...

p.s. все еще существует софт, в т.ч. периодически слышу про такие проблемы у вендорского предустановленного софта у ноутбуков, которые так или иначе не заботятся о надежности и к примеру не проверяют https/http ссылки (условный ключ -k у curl который заставляет игнорировать подмену сертификата у скачиваемого ресурса) а значит провайдер может атаковать этот уязвимый софт, установить на машину пользователя вредоносный троян и уже с его помощью творить свои черные дела

1. С https безопасно, могут узнать только sni из tls client hello (youtube.com), пароли никто не увидит
2. Злоумышленник не сможет, если у него нет доступа в ваш vpn. Владелец хоста может попробовать, но вряд ли ему это интересно

Оператор Ваш номер и передал. Некоторые компании заключают договор с оператором и при посещении абонентом сайта с мобильного телефона, в запрос к сайту добавляется информация о номере телефона. К передаче персональных данных, передача только телефонного номера - не относится, поэтому это не противоречит закону.