小编按：此文是一位自称IT从业人员的读者来稿。吐槽君常收到政治评论的投稿，这种纯技术的文章第一次收到，所以很感激这位读者支持。

自从网上信用记录公司Equifax出事以来，大家都对自己的线上隐私更加关注起来。偏偏最近的政局不稳，各类网上签名运动如火如荼。这些签名运动很能调动积极性，鼓励大家参政议政，出发点是不错的，下面就是两个例子，都征集到超过十万签名。

但是网上请愿的网站除了这个比较靠谱的白宫we the people外，还有很多其他家。

这些请愿网站都有相似点，就是任何人都可以发起请愿并分享请愿链接。收到链接的人只要录入一些个人信息比如说email，地址邮编什么的，就可以留下大名签署这个请愿。

那么问题来了，这样随随便便在网上填信息安全吗？下面看看专家的意见吧。

那么到底会出什么状况呢？这里举了几个例子：

窃取个人隐私

比如说，犯罪分子可以搭建一个貌似正当的网站，然后放一些让大家热血沸腾的请愿号召大家支持。这样犯罪分子就可以轻松的收集到大量的email地址和无辜群众的地址邮编等其实比较个人的信息。大家一定会问，email又不是社会安全号SSN，有那么要紧吗？其实，犯罪分子可以用emai来发钓鱼电邮，钓鱼电邮处理不当会导致严重后果。

通过钓鱼窃取身份认证信息

大家还记得去年大选希拉里的竞选高级顾问Podesta的邮件怎么被窃取的吗？就是有人先拿到Podesta的email地址，再通过钓鱼phishing信件骗取了他的邮件密码，然后登录到他的邮箱把他邮件全下载了。对于普通群众来说，被人窃了密码窃了邮件，黑客就可以有条件进一步窃取私人银行退休金管理的账号，最后会导致身份认证信息被窃，也就是Identity Theft这种可怕的事情发生。这种事情有多可怕呢？可怕到你的信用记录会完全被破坏，然后你需要花上几年的时间来跟各种组织和机构打交道洗清自己的信用污点。所以不要轻易让自己的邮件被spammer收集，会带来意想不到的恶果。

网站被黑后，信息泄露

有时候，网站本身不是恶意网站，但是由于管理不当，被黑客攻破了，然后内部用户信息被泄露。一般来说，无论谁办的网站对会被攻击，但是对于资金雄厚的大公司和联邦政府的网站来说，出事故后他们的善后工作会好一些。比如说，FBI会更重视一些，对泄露的用户身份信息的监控服务会更完备一些。至于小公司，这个就靠天收了。

说得这么可怕，那么以后不签就是了。其实也完全没有必要因噎废食。这里我们就通过一个case study来跟大家分享一下如何正确安全的签请愿书。

最近在华人圈转的一个反细分请愿链接：https://www.gopetition.com/petitions/stop-collection-of-discriminatory-disaggregted-raceethinicity-data-for-college-applicants.html?from=singlemessage&isappinstalled=0

首先，gopetition这个域名对于不少人来说很陌生，并不是大家较熟悉的https://petitions.whitehouse.gov/ 。这种情况下，第一件不能做的事情就是点击该网站。我们可以先查一下这个网站的登记信息。具体步骤如下：

1. 用https://domains.google.com来搜一下gopetition.com

2. 在服务器列表里面点击whois，我们可以得到以下信息：

可以看出来这是澳大利亚人登记的一个网站。里面的联系emails都是免费的私人邮箱: peterburton10@gmail.com，而不是专业的企业邮箱。这其实是一个red flag。

澳大利亚是主权国家，澳大利亚人触犯了美国的法律未必会受到美国司法系统的追究。而且澳大利亚和美国关于收集电子邮件的法律是很不相同的。下面有个概要：

对于这种既不不熟悉，又登记在美国以外的个人网站，而且需要提供私人信息的请愿签名，多加小心是没有错的。所以大家还是不能急着点击，可以用关键词做一下谷歌搜索：Is gopetition.com safe？搜素结果会有不同的网络服务公司的检测结果。在阅读检测结果前，要确认哪些网络公司对gopetition.com提供的安全评估是可靠的。比如说https://safeweb.norton.com/提供的网站安全评估相对可靠，而https://www.scamadviser.com/这个公司提供的评估就很不靠谱。

经过一番检查，可以大致认定，点击gopetition.com应该没什太大的技术安全问题。但是并不代表网站就没有夹私货，我们要防止被不良网站利用，比如说想支持T，但是被反T的组织机构利用了。我们发现gopetition.com这个网站就为弹劾川总打广告：

从互联网的运营模式看，打了这种广告，那么gopetition.com网站每获得一个点击，就很可能从可以从企图弹劾川总的运动中分到一杯羹，大家可以问一下，这真的是大家想要的结果吗？其实商业网站.com就是这样，他们永远是站在金钱一边，是不考虑普通群众对川总的感情的。所以大家也要想清楚，再决定是否给这种网站贡献点击。

技术层面商业层面都考虑了，接下来还有一个更tricky的问题，就是如果决定要签名，那么提供的个人信息将会被存到一个澳大利亚私人公司的服务器上，这些个人信息将会被如何处理？会不会日后被卖掉？他们的主服务器会不会像希拉里的email server一样，塞在地下室里而不是在云上呢？澳大利亚网络监管如何？如果被黑客攻击后会有什么样的补救措施？这里我们手头可以调研的工具和资源并不多，可以参考https://www.gopetition.com/privacy.php和https://www.gopetition.com/terms.php

读一下。但是小字一般都较难懂，有一个办法可以有助于理解这些小字，就是跟https://www.whitehouse.gov/privacy比较阅读。但是难度还是很大，因为澳大利亚和美国不是一个司法系统，这些小字的含义是否一样，是否能被执行和追责大家还是没有概念。如果有条件，可以请教一下精通美国和澳大利亚法律的律师，也许能得到满意的答复吧。

互联网给我们带来了方便，但是安全隐患绝对不能忽视，否则的话，一腔热血的想为华人做好事，却不经意为大家带来了麻烦，怎么跟孩子交代呢？

小心使得万年船是没有错的。