“免费”网站的高额隐私成本

Kara Zajac说，SPART*A是一个为变性人军人和退伍军人服务的小型非营利性组织，帮助她在海军服役期间开始了过渡。为了回报，她自愿在退伍后的空闲时间建立该组织的网站-并密切关注一个关键价值：隐私。

“我不跟踪用户，”扎亚克说。“军队里并不是每个人都想因变性人而出名。他们可能还没出来。因此，任何时候我们可以通过这种方式保护隐私，我们都会努力做到这一点。“。

她说，她只允许在spartapride.org上使用三个跟踪器：Twitter和Facebook的Cookie，它们在网站上的“赞”按钮，还有一个来自Disqus，这是一个评论平台，她通过一个预先打包的网站主题从互联网上花了59美元买下了这个网站，以建立网站。

但是，当这个标记使用我们新的即时隐私检查器Blacklight扫描spartapride.org时，我们发现21家不同的广告技术公司跟踪了该网站的访问者，在用户不知情或未经用户同意的情况下，向广告商发出了关于人们性别身份的可能信号。

当你工作、学习或浏览互联网时，是谁在背后偷看你？

在这里试试Blacklight吧。进入一个网站，Blacklight将扫描它的用户跟踪技术-以及谁在获取您的数据。

其中包括谷歌(Google)、亚马逊(Amazon)和甲骨文(Oracle)旗下Bluekai消费者数据部门的营销和广告部门，该部门今年夏天报告了大规模数据泄露事件，导致数十亿条记录-包括个人身份信息-无需密码就可以在开放的互联网上访问。甲骨文没有回应有关从spartapride.org用户那里收集的数据是否包括在曝光中的问题。

之所以加载跟踪器，是因为Disqus在其评论门户的免费版本上销售广告，而那个广告空间带有第三方跟踪功能。Disqus在自己的网站上披露了这些追踪器，但该公司不愿就追踪SPART*A的用户发表评论。

当标记显示网站上出现了多少跟踪器时，扎亚克被惊呆了。她说，她学到了一个惨痛的教训：“如果它是免费的，那并不意味着它是免费的。这只意味着它不需要花钱。“。相反，这会损害你网站访问者的隐私。

Spart*A同意使用Disqus cookie-但不知道其他21家公司的跟踪器。

该公司的一项调查发现，一系列免费的网站建设工具，其中许多是由广告技术公司和广告资助公司提供的，导致用户浏览器上加载了数量惊人的跟踪器，即使他们访问的网站似乎将隐私放在首位。有些网站加载时没有得到网站运营者的明确信息--或者没有向用户披露。

网站运营商可能会同意设置Cookie-识别您身份的小文本字符串-来自一家外部公司的cookie。但他们并不总是意识到，设置这些cookie的代码还可以加载数十个其他跟踪器，比如嵌套娃娃，每个追踪器都会收集用户数据。

为了调查在线跟踪的普及性，该标记花了18个月的时间建立了一个独一无二的免费公共工具，可以用来实时检查网站是否存在潜在的侵犯隐私的行为。Blacklight会显示在任何网站上加载的跟踪器-包括用来阻止隐私保护工具或查看您的每一次滚动和点击的方法。

我们用Blacklight扫描了世界上8万多个最受欢迎的网站，发现有5000多个是“指纹”用户，即使他们屏蔽了第三方cookie，也能识别他们。

我们还发现超过12000个网站加载了脚本，这些脚本可以观看和记录页面上的所有用户交互，包括滚动和鼠标移动。这就是所谓的“会话记录”，我们发现它的流行率比研究人员以前记录的要高。

Blacklight在9月9日进行了扫描。2020年8月，在Tranco排名的8万多个网站中

200多个受欢迎的网站使用了一种特别具有侵入性的技术，在人们点击发送之前，捕捉人们在表单上输入的个人信息，如姓名、电话号码和密码。它被称为“按键记录”，有时会作为会话记录的一部分进行。

其中一家这样做的网站SunTrust Bank将我们输入的用户名和密码发送给了第三方Jornaya，Jornaya说它会加密并丢弃它收集的数据。SunTrust发言人凯尔·塔伦斯(Kyle Tarrance)不愿回答有关密码泄露的问题，但坚称该公司将“客户的福祉放在我们所做的一切工作的首位”。我们联系该公司后，其网站停止向Jornaya发送数据。

我们使用Blacklight扫描了数百个敏感网站，发现即使在那里，追踪也出人意料地普遍：

100多个为非法移民、家庭和性虐待幸存者、性工作者和LGBTQ人员提供服务的网站将他们访问者的数据发送到广告公司。

80家美国堕胎提供商在用户浏览器上加载了第三方追踪器，其中一些人将数据发送到Facebook，最终出现在用户档案中。

来自不同公司的追踪者正在相互通信，以确认性暴力受害者网站访问者的身份。

像Everyday Health和WebMD这样的健康信息网站将有关页面访问的用户数据发送给数十家营销公司。

亚利桑那州儿童安全局关于如何举报虐待儿童的页面将网站访问者的数据发送给了六家广告技术公司。

提供新冠肺炎信息的各个政府网站在用户不知情的情况下，将网站访问者的信息发送给广告公司。

梅奥诊所(Mayo Clinic)使用关键日志记录，在人们注册预约和临床试验的页面中捕捉有关人们当前疾病的信息。即使人们改变了主意，决定不提交信息，捕获的数据仍然被发送到梅奥诊所服务器上标有“用于营销人员/跟踪的Web表单”的端点。