И ещё раз о безопасности сайта Умного голосования и слив персональных данных Яндексу

image-loader.svg

Уже было описание уязвимости на сайте Умного голосования. Владислав Здольников на своём канале в Телеграм рассказывает очевидные вещи про прозрачность банковских платежей. И вот вчера Дмитрий Зворыкин заспорил с Леонидом Волковым, а Волков начал хамить в ответ будто Дима троль какой-то, а не ИТ-профессионал. Диму знаю 20+ лет ещё со студенческих времён в МИЭМ, потом мы вместе работали в избирательной кампании Навального 2013 года, и мне лично очень неприятно подобное отношение политиков к гражданам. Даже если бы Дима был не прав, то Волков как публичное лицо не имеет права так неуважительно общаться и позорить в том числе и Навального. И в результате, возможно увидев, что народ лайкает Диму, а не его, Волков просто забанил Диму. Типа проблемы нет. Но она есть.

Дима прав по сути.

Этот вопрос уже был рассмотрен на хабре. Дима лишь убедился что проблема осталась на том же самом месте.

На сайте Умного голосования инициализируется Яндекс. Метрика.

ym(51317221, "init", { 
  clickmap:true, 
  trackLinks:true, 
  accurateTrackBounce:true, 
  webvisor:true });

В которой включается Вебвизор, карта скроллинга, аналитика форм, которые просто пишут все данные, которые пользователи вводят на сайте.

image-loader.svg

Пункт 15 пользовательского соглашение прекрасен:

15. Пользователь настоящим уведомлен и соглашается с тем, что Яндекс не знает и не может знать, какая информация содержится в составе данных, записанных счётчиком на страницах сайта Пользователя / библиотекой в мобильном приложении Пользователя, а также какая информация записывается при записи Сессий посещений и сохраняется во временной записи таких Сессий посещений, и не может определить, содержатся ли в составе информации в таких записях переписка и иная ограниченная к получению, обработке и распространению информация третьих лиц (далее — Охраняемая информация), или нет. Сервис работает полностью в автоматическом режиме, не анализирует содержание и смысл информации размещенной на страницах / в мобильном приложении или вводимой посетителями в поля на страницах / в мобильном приложении, а записывает её полностью независимо от содержания. Яндекс не проводит никаких модификаций данных, записанных счётчиком / библиотекой, в том числе записей Сессий посещений, и не осуществляет никаких целенаправленных действий по сбору, получению, обработке и распространению Охраняемой информации посетителей сайта Пользователя / конечных пользователей мобильного приложения Пользователя, в результате использования Сервиса Пользователем. С учетом вышесказанного, Пользователь понимает, что в результате использования Сервиса он может получить доступ к Охраняемой информации, в связи с чем Пользователь обязуется не предпринимать целенаправленных действий, направленных на получение такой Охраняемой информации, а также обязуется в максимальной степени соблюдать все требования действующего законодательства к сбору, обработке и защите персональных данных и иной Охраняемой информации, полученной при использовании Сервиса, и самостоятельно несет все риски, связанные с получением такой Охраняемой информации, и ответственность за несоблюдение требований законодательства.

В версию Димы, что Яндекс загрузит, что угодно вместо обычного tag.js я не очень верю. Но такой задачи не стоит. Метрика и так всё пишет. В ветке твиттера рассказывают, что они там какую-то галочку поставили, и Яндекс не пишет. Ага, конечно, так мы и поверили. Но потенциальная проблема круче.

Леонид Волков не в курсе сквозной аналитики?! У Метрики пользователи имеют clientID. Он глобальный. У двух разных сайтов с двумя разными кодами счётчиков мой clientID одинаковый. Это в одном браузере. В разных браузерах он разный. Но сильно на это опираться не стоит. Умеют они палить и разные браузеры. Тот же Facebook умеет и банит. Но большинство пользуется одним браузером.

Волков верит, что у Метрики нет персональных данных. Ага, конечно. Читаем про обмен данных из CRM с Метрикой. Далее смотрим какие данные там передаются:

Необязательные колонки:

Все данные можно изменять.

  • name — название клиента. Произвольная строка.

  • create_date_time — дата и время создания контакта в часовом поясе счетчика. Подробно

  • update_date_time — дата и время обновления контакта в часовом поясе счетчика. Подробно

  • client_ids — список ClientID.

  • emails — список адресов электронной почты клиента.

  • phones — список телефонных номеров клиента.

  • emails_md5 — список адресов электронной почты клиента, хешированных в формате md5.

  • phones_md5 — список телефонных номеров клиента, хешированных в формате md5.

На эту тему я хотел статью писать, но переписка Димы Зворыкина с Леонидом Волковым подтолкнули к статье немного в другом контексте. А ведь пользователи не давали согласия на передачу своих персональных данных Яндексу и данных о заказах тоже. И ведь, что интересно, данные коллекционируются далеко не для всех компаний:

Примечание. Если ваша компания зарегистрирована в ЕС или Швейцарии — или вы обязаны соблюдать GDPR (General Data Protection Regulation) по другим причинам — подключение к Метрике данных из CRM для вас недоступно.

Да, эти данные необязательные. Но кто верит, что менеджеры по маркетингу, операторы различных CRM об этом задумываются?! Они просто включают галочку в CRM про сквозную аналитику и все данные сливаются в Яндекс. Даже если телефоны и адреса электронной почты сливаются в md5, то это вообще не проблема. Для телефонов точно, ну, а для адресов электронной почты чуть сложнее и тоже почти не проблема, так как сами адреса тоже есть и большинство засвечены. Разработчики сайта Умного голосования верят, что Яндекс с золотой акцией от государства тайно или даже явно по запросу органов не сольёт данные посетителей Умного голосования, а я не верю.

Бережёного бог берёт. Если заявлять о безопасности, то никаких счётчиков и никаких внешних скриптов на сайте быть не должно. Более того, на уровне заголовков сайта должны быть прописаны запреты на подгрузку левого контента.

Наверняка отключение Метрики принципиально не повлияет на проект Умного голосования. Зачем рисковать — непонятно.

Проблему можно было давно исправить, если бы обратная связь работала. Но обратная связь у оппозиции работает примерно также как у путинских. Пока массового возмущения нет, не почешутся.

© Habrahabr.ru