DPA Analytics: НДВ в CMS Битрикс отправляет данные посетителей в Ирландию
Изображение: Pedro Pereira (unsplash)
В DPA Analytics было проведено исследование безопасности российских frontend-приложений. Были проверены приложения/сайты более 3000 крупнейших коммерческих российских компаний.
При анализе результатов мы обнаружили, что российская система управления сайтами (CMS) Битрикс скрытно внедряла на страницы сайтов скрипт аналитики, который собирал данные о поведении пользователей и фрагменты веб-страниц и отправлял на сервер Битрикс, размещенный в Ирландии. Сбор и отправка данных ведется с 2014 года – более 11 лет.
Только среди проверенных нами приложений проблема затрагивает 650 российских компаний, из них:
- 150 сайтов банков
- 5 систем ДБО / онлайн-банков
- 70 личных кабинетов
- 74 сайта электронной коммерции.
Компаниям, у которых сайт работает на Битрикс, необходимо установить последние обновления либо выполнить действия описанные в нашем исследовании:
Необходимо в файл /home/bitrix/www/bitrix/.settings.php добавить в массив параметров следующий объект.
'analytics_counter' => array(
'value' => array(
'enabled' => false,
),
),Компании рискуют получить санкции/штрафа Роскомнадзора за осуществление трансграничной передачи персональных данных без согласия и уведомления Роскомнадзора. В марте 2025 года Роскомнадзор рассылал ряду коммерческих компании требование об удалении с сайтов скрипта Google Analytics по этим же причинам.
В компании «1С-Битрикс» заявили: «Скрипт, который разобрали в статье — это часть известного сервиса «Скорость сайтов» в «1С-Битрикс: Управление сайтом». Он собирал только технические показатели о скорости загрузки страниц и рисовал графики для владельцев сайтов.
Этот сервис Битрикс уже отключил — в актуальной версии его нет. Для старых версий, если вдруг владелец сайта не установил обновление, Битрикс тоже отключил обработку на своей стороне».
