Milyonlarca geliştirici, günlük iş akışlarında hassas kod parçacıklarını, API anahtarlarını, şifreleri ve özel iş mantıklarını ücretsiz çevrimiçi araçlara (JSON formatlayıcılar, Diff denetleyiciler, Base64 çözücüler, Regex test ediciler gibi) yapıştırmaktadır. Ancak bu araçların gizlilik uygulamaları genellikle göz ardı edilmektedir. Bir araştırmacı, bu yaygın araçların gizlilik durumunu detaylı bir şekilde incelemek üzere Playwright kullanarak bir denetim gerçekleştirmiştir. Temiz bir tarayıcı ortamında, sahte API anahtarları, şifreler ve token'lar içeren test verileriyle popüler siteler ziyaret edilmiş, sayfa yüklemesinden itibaren tüm ağ istekleri izlenmiş ve veri sızdırma, izleme ve parmak izi alma faaliyetleri analiz edilmiştir.
Denetimin ilk durağı olan jsonformatter.org, daha kullanıcı herhangi bir karakter girmeden 20'den fazla reklam ağı ve izleme servisiyle iletişime geçmiştir. Google Analytics, Freestar Ad Platform, Prebid.js Header Bidding, ID5 Identity Sync, CrowdControl, DoubleClick, Rubicon Project, Media.net, PubMatic ve AppNexus gibi platformlar anında devreye girerek gerçek zamanlı bir teklif verme süreci başlatmıştır. Bu süreçte kullanıcının IP adresi, tarayıcı parmak izi, ekran çözünürlüğü, saat dilimi, dil ve web genelinde takip edilmesini sağlayan benzersiz tanımlayıcılar gibi kişisel veriler reklam ağlarıyla paylaşılmıştır. Araçtaki JSON formatlama işlemi her ne kadar istemci tarafında gerçekleşse de, sayfanın kendisi devasa bir gözetim operasyonu yürütmektedir. Bu durum, geliştiricilerin farkında olmadan hassas verilerini ifşa etme riskini ortaya koymaktadır.
Geliştiricilerin günlük hayatta kullandığı ücretsiz çevrimiçi araçların, kullanıcı verilerini yoğun bir şekilde izleyip reklam ağlarıyla paylaştığı, bu durumun ciddi gizlilik riskleri taşıdığı ortaya konmuştur.