Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Скандал с Битрикс: данные уходят заграницу

21
1 мин
В DPA Analytics было проведено исследование безопасности российских frontend-приложений. Были проверены приложения/сайты более 3000 крупнейших коммерческих российских компаний. При анализе результатов мы обнаружили, что российская система управления сайтами (CMS) Битрикс скрытно внедряла на страницы сайтов скрипт аналитики, который собирал данные о поведении пользователей и фрагменты веб-страниц и отправлял на сервер Битрикс, размещенный в Ирландии. Сбор и отправка данных ведется с 2014 года – более 11 лет. Только среди проверенных нами приложений проблема затрагивает 650 российских компаний, из них: Компаниям, у которых сайт работает на Битрикс, необходимо установить последние обновления либо выполнить действия описанные в нашем исследовании: Необходимо в файл /home/bitrix/www/bitrix/.settings.php добавить в массив параметров следующий объект. 'analytics_counter' => array(
'value' => array(
'enabled' => false,
),
), Компании рискуют получить санкции/штрафа Роскомнадзора за осущест
Изображение: Pedro Pereira (unsplash)
Изображение: Pedro Pereira (unsplash)

В DPA Analytics было проведено исследование безопасности российских frontend-приложений. Были проверены приложения/сайты более 3000 крупнейших коммерческих российских компаний.

При анализе результатов мы обнаружили, что российская система управления сайтами (CMS) Битрикс скрытно внедряла на страницы сайтов скрипт аналитики, который собирал данные о поведении пользователей и фрагменты веб-страниц и отправлял на сервер Битрикс, размещенный в Ирландии. Сбор и отправка данных ведется с 2014 года – более 11 лет.

Только среди проверенных нами приложений проблема затрагивает 650 российских компаний, из них:

  • 150 сайтов банков
  • 5 систем ДБО / онлайн-банков
  • 70 личных кабинетов
  • 74 сайта электронной коммерции.

Компаниям, у которых сайт работает на Битрикс, необходимо установить последние обновления либо выполнить действия описанные в нашем исследовании:

Необходимо в файл /home/bitrix/www/bitrix/.settings.php добавить в массив параметров следующий объект.

'analytics_counter' => array(
'value' => array(
'enabled' => false,
),
),

Компании рискуют получить санкции/штрафа Роскомнадзора за осуществление трансграничной передачи персональных данных без согласия и уведомления Роскомнадзора. В марте 2025 года Роскомнадзор рассылал ряду коммерческих компании требование об удалении с сайтов скрипта Google Analytics по этим же причинам.

В компании «1С-Битрикс» заявили: «Скрипт, который разобрали в статье — это часть известного сервиса «Скорость сайтов» в «1С-Битрикс: Управление сайтом». Он собирал только технические показатели о скорости загрузки страниц и рисовал графики для владельцев сайтов.
Этот сервис Битрикс уже отключил — в актуальной версии его нет. Для старых версий, если вдруг владелец сайта не установил обновление, Битрикс тоже отключил обработку на своей стороне».

Оригинал публикации на сайте CISOCLUB: "DPA Analytics: НДВ в CMS Битрикс отправляет данные посетителей в Ирландию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.