本文最初发布于VPNpro的博客，经原作者授权由InfoQ中文站翻译并分享。

在考虑对于消费者而言最方便的网络安全工具时，你可能会想到防病毒程序和VPN。其中，VPN被用来避开地理位置限制，并为用户提供最大限度的安全和隐私。

所以，当用户发现他们喜欢的一些VPN根本不尊重他们的隐私时，他们会感到非常惊讶。

我们的研究表明，VPN网站与其他流行的网站非常相似，有时甚至更差，这非常令人失望。在我们分析的114个VPN中，102个网站有跟踪器，26个网站有10个甚至更多的跟踪器。许多跟踪器涉及到在尊重用户隐私方面名声不佳的第三方，它们可能对用户不利。

更糟糕的是，它们使用了会话回放脚本：近1/4的VPN网站使用它们来记录每个用户如何使用他们的网站，他们点击什么，他们搜索什么，等等。

幸运的是，情况并非都这么糟糕：有13个网站上完全没有跟踪器，有48个网站上的跟踪器为4个或少于4个。

但是，说实话，最后的赞美只是一种安慰。请记住，这些跟踪器是为了跟踪你的在线行为，记录你在互联网上的访问情况。即使在你的网站上只有一个这样的跟踪器，也会让你失去隐私和匿名性。

要点

102个VPN站点有1个及1个以上的跟踪器，26个站点有10个及10个以上的跟踪器
114个VPN站点上有32个会话回放脚本
17个网站有来自第三方的跟踪器，它们的隐私保护措施不够完善
45个网站有Facebook跟踪器，其中39个有超过1个跟踪器
只有13个网站没有跟踪器

关于本研究

为了分析这些网站，我们使用了免费的反跟踪插件Ghostery。它的数据库中不仅有一个很大的跟踪器列表，而且还提供了指向这些跟踪器隐私策略的链接，以及收集并分享的各种数据的摘要。

除了查看每个VPN网站的跟踪器外，我们还查看了这些第三方隐私策略，以确定它们的安全性或风险。

最初的列表中包含了前120个VPN网站，但是其中6个已经下线了。我们分析的VPN网站清单来自我们2019年的VPNpro排行榜。

会话回放脚本的危险之处

当你访问一个使用了会话回放脚本的网站时，你的会话（你的访问）可能会被记录下来。会话回放脚本允许网站所有者、市场营销人员、销售人员等查看用户如何与他们的网站交互。我们发现，有26个VPN站点在他们的网站上使用了会话回放脚本，其中一个是Avast SecureLine VPN，它甚至使用3种不同的会话回放工具来记录用户的行为。

术语“会话回放”源于这些工具具备回放用户会话的能力。实际上，这些工具可以记录你在访问他们网站时的所有活动，包括你点击了什么、你搜索了什么、你在任何表单中输入了什么（甚至在你点击“提交”之前），以及你在网上做的其他任何事情。

我们所说的记录，指的是真正的录制：这些会话回放是你的在线行为的视频记录。如果这听起来还不够恐怖，普林斯顿大学安全研究人员还发现了以下内容：

在记录过程中，第三方回放脚本收集的页面内容可能导致页面上显示的敏感信息（如医疗记录、信用卡信息和其他个人信息）泄漏给第三方……这可能会让用户面临身份盗窃、网络诈骗和其他有害的行为。在结账或注册过程中收集用户输入也是如此。

虽然有一些会话回放工具能够编辑（隐藏）用户行为被记录时用户输入的信息，但并不是所有工具都能做到这一点。在他们的研究中，一些密码可以被清晰地记录下来，许多敏感数据也可能被泄露。研究人员创建了一个表来展示他们的发现，其中全填充圆表示数据被排除（编辑），半填充圆表示等效屏蔽（equivalent masking），空心圆表示数据被直接发送：

即使有一些安全措施，普林斯顿大学的研究人员还是发现，包括Yandex、Hotjar和Smartlook在内的一些公司，都提供了用户访问HTTP页面的视频记录回放，甚至有些视频是在HTTPS页面上录制的。因为HTTP页面是未加密的，这为MITM（中间人）攻击提供了一个巨大的机会，黑客可以轻易地窃取所有的记录数据。

使用会话回放脚本的VPN网站

跟踪器与隐私侵权

但跟踪器带来的问题远不止回放脚本导致的漏洞和隐私缺乏。

跟踪器的类型很多，它们提供不同程度的隐私保护。一些跟踪器会收集用户数据，但除了匿名/聚合数据外不会共享任何内容，而其他跟踪器则没有明确它们共享的内容。有些甚至是相当友好，它们收集数据，但很少共享，或者它们对于一个网站的运作非常重要。

但也有一些跟踪器非常糟糕，他们与第三方共享个人身份数据或匿名数据。我们发现了34种对隐私有害的跟踪器，其中包括Taboola、Zendesk、Adroll、BlueKai和OpenX。

OpenX巨大的数据采集量

让我们以最后一跟踪器OpenX为例。根据他们的隐私策略，自称全球“程序化广告”领导者的OpenX可能会收集你的年龄、性别、婚姻状况、电话信息、IP地址，甚至精确的GPS位置：

他们还可以出于各种目的与他人共享所有这些数据。

OpenX过去曾被指控侵犯消费者隐私。这家程序化广告公司被认定使用了一种技术，使其可以与其他公司共享数据，包括未经授权的第三方。实际上，这使得多家公司可以收集用户的数据，即使这些公司没有按照GDPR和加州的CCPA征得用户同意。

BlueKai褒贬不一的声誉

但是，OpenX并不是唯一这样做的。这些风险较高的跟踪器大多使用了相同的商业技术。以2014年被甲骨文收购的BlueKai为例。BlueKai因为其可能侵犯隐私的问题被一次又一次地提及。出于对“数据经纪和广告技术行业数据处理活动”的严重担忧，Privacy International甚至在一份GDPR投诉中提到了它。

在BlueKai和其他数据经纪商的学术研究中，研究人员提到了数据经纪商存在的三大用户隐私方面的问题：

数据存储的安全性不够
跟踪方将数据出售给其他实体
广告代理商无意中通过其广告服务暴露了用户数据

第二个问题最糟糕。由于像BlueKai这样的数据经纪商是通过收集和出售用户数据来赚钱，这会带来了很大的隐私风险。这是因为，虽然BlueKai的隐私策略规定了它可以和不可以对用户数据做什么，但这些数据最终将受BlueKai的客户隐私策略约束，而该策略可以和BlueKai的隐私策略不同。

因此，虽然BlueKai可能会声明，他们在收集你的数据时尊重你的隐私，但他们很可能会把这些数据卖给那些根本不关心你的隐私的公司。

VPN使用了高风险跟踪器

对于VPN用户，这意味着什么？

总的来说，那些访问VPN网站的人无疑会感到失望。实际上，你会期望从这些服务中获得更高水平的隐私保护和匿名性——基于这些VPN公司应该提供的服务——但实际上你会发现，这些服务的隐私保护水平和匿名性远远低于预期。

VPN网站使用的营销策略与它们经常指责的Facebook等大公司相同。事实上，我们分析了45个使用Facebook跟踪器的网站。这就像一个人两张嘴，一边说Facebook侵犯你的隐私，一边又说Facebook对你的客户有好处。

不管怎么说，用户正在遭受损失。广告技术公司和数据经纪商收集并出售用户数据，而这些VPN网站似乎没有任何特别的隐私或匿名措施。

幸运的是，有一个简单但不完美的解决方案：

使用像Ghostery这样的扩展和工具，可以帮助你阻止许多跟踪器和会话回放脚本
使用像Brave这样默认开启隐私模式的浏览器
严格限制你在这些网站上做的事，或者完全避免使用它们。（如果有任何问题，只要给他们的客服发邮件就可以了）。

你可以使用更多复杂的方法，来限制与这些网站以及所有网站和浏览器共享的数据类型，但是我们上面列出的这些选项对于VPN网站应该是有用的。

不过，我想以一个积极的方式结束本文，下面是20个最私密的VPN网站，它们包含的跟踪器数量最少：

12VPN – 0
AirVPN – 0
ConfirmedVPN – 0
CryptoStorm – 0
Disconnect VPN – 0
DotVPN – 0
Mullvad – 0
ProtonVPN – 0
Psiphon – 0
Thunder VPN – 0
VIP72 VPN – 0
VPN.ac – 0
Zorro VPN – 0
Celo VPN – 1
Hideman VPN – 1
IVPN – 1
Seed4.Me – 1
VPNReactor – 1
Windscribe – 1
ZenVPN – 1

那些最受欢迎的VPN又如何？

如果没有看到你最喜欢的VPN提供商——无论是NordVPN、ExpressVPN，甚至是PIA——那可能是因为他们既没有最危险的跟踪器，跟踪器数量也不是最少。

以下是用户最喜欢的20个VPN提供商，以及它们在跟踪器总数、高风险跟踪器和会话回放脚本方面的情况：

VPN提供商	跟踪器总数	高风险跟踪器	会话回放脚本
NordVPN	10	0	0
Surfshark	8	0	0
ExpressVPN	10	0	0
CyberGhost	10	0	1
Astrill	7	0	0
TorGuard	4	0	0
Ivacy	11	1	1
PrivateVPN	7	0	0
Windscribe	1	0	0
VyprVPN	12	0	0
ProtonVPN	0	0	0
Perfect Privacy	5	0	0
PIA	4	0	0
IPVanish	15	2	0
Hotspot Shield	8	0	0
PureVPN	10	0	1
HideMyAss	15	0	1
TunnelBear	5	0	0
Avast SecureLine VPN	24	3	3
Norton WiFi Privacy	36	8	1

原文链接：

Top VPNs are recording users and potentially leaking their data when they visit their website

创作场景

VPN 正在泄露你的隐私，怎样才能实现“网络自由“？