«Куки»-монстры: госсайты отслеживают юзеров через сторонние файлы
Сайты правительств и международных организаций отслеживают пользователей по сторонним cookie-файлам, показали результаты международного исследования. Речь о странах G20, в том числе России. «Куки» — крошечные файлы, благодаря которым юзеры, например, в один клик авторизуются на сайтах. А еще с их помощью пользователям подсовывают надоедливую рекламу и понемногу из разных источников собирают их характерный портрет. Стоит ли считать cookie инструментом «большого брата», как от них избавиться и нужно ли вообще это делать, читайте в материале «Известий».
Наблюдающая «большая двадцатка»
Правительственные сайты страны G20 отслеживают пользователей по cookie-файлам, связанным с трекерами. К такому выводу пришла группа экспертов из исследовательских институтов Германии, Испании, Кипра и Нидерландов. Они выяснили, что более 90% изученных ими порталов добавляют «куки» без согласия пользователей, около 60% из них — как минимум один сторонний. Причем происходит это и в тех государствах, где действуют строгие законы о конфиденциальности данных пользователей.
Для анализа исследователи выбрали 5,5 тыс. сайтов международных организаций и правительственных структур. Чтобы ограничить выборку, они сконцентрировались на ресурсах, где публиковалась официальная информация о COVID-19.
Большинство из них установили без одобрения пользователя хотя бы один «куки». «Лидерами» в антирейтинге с показателем 100% стали Индонезия и Саудовская Аравия. Выше 90% — у Австралии, Аргентины, Бразилии, Великобритании, Канады, Китая, Мексики, России, США, Турции, ЮАР и Южной Кореи.
На портале «Стопкоронавирус.рф» при первом входе появляется плашка: «Я соглашаюсь с тем, что владелец сайта использует файлы cookie для повышения удобства работы... Оставаясь на сайте, я соглашаюсь с политикой их применения». На «Госуслугах» подобных всплывающих окон нет, как и, например, на странице районной столичной управы.
Ответ находится в пользовательском соглашении. «Использование сервиса, информационной системы города Москвы означает согласие пользователя на обработку любой информации, в том числе необходимой для корректной работы и/или сбора статистики использования сервисов системы (в том числе cookie)», — говорится в нем.
Кому нужны «куки» и зачем
Cookie — это файл с данными о пользователе, которые сохраняются в браузере с привязкой к домену сайта. Эта информация имеет определенный срок жизни, говорит технический директор Swordfish Security Антон Башарин.
— Есть кратковременные (действительны от нескольких минут до нескольких часов). Вы их встречаете, когда надо повторно ввести логин/пароль для доступа в личный кабинет, — объясняет собеседник «Известий». — И долгоживущие куки — у них время жизни измеряется месяцами и годами. Срок программно задается при создании и зависит от дальнейшего использования [сайта].
По тому, какой указывается домен при сохранении, cookie можно разделить на собственные (так называемые first-party) и сторонние (third-party). Собственные — те, что сохраняются с привязкой к домену сайта, который открыл пользователь. Например, если был открыт https://my.company.ru в браузере, все собственные cookie будут сохранены под доменом my.company.ru. Сторонние — под другими именами. «Чаще это реклама, авторизация через соцсети и тому подобное», — поясняет эксперт.
Антон Башарин, технический директор Swordfish Security:
При каждом обращении к сайту браузер отправляет на сторону сервера все cookie, которые еще активны и были сохранены под его доменом. Тут всё строго — каждый сайт получает только «свою» информацию. Если случается, что браузер добавил в запрос «чужой» cookie — это критическая ошибка, ее обычно исправляют крайне быстро.
Идея связанных с трекерами cookie-файлов в том, что на сайт «вешается» небольшой кусок кода, который умеет идентифицировать пользователя, добавляет руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев.
— В дальнейшем, если он заходит на другой сайт, по cookie-файлу поисковая система или трекер опознает пользователя и может связать два посещения на разных сайтах с одним человеком, — говорит эксперт. — Это удобно, если мы хотим идентифицировать пользователя и понять, куда он заходил и какие товары ему интересны.
Сторонние «куки» используются практически на всех веб-сайтах, в основном для сбора статистики и анализа посещений, отмечает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. «Это помогает создавать более качественные приложения и строить успешный бизнес», — подчеркивает собеседник.
В частности, сторонние cookie-файлы позволяют организовать аутентификацию через учетные записи в других системах: так, авторизация на портале налоговой службы использует аккаунт с «Госулуг».
За что их невзлюбили
«Куки» из-за функции отслеживания получили славу шпионов, во многом не по своей вине. Почти 10 лет назад бывший сотрудник американских спецслужб Эдвард Сноуден обнародовал документы, согласно которым Агентство национальной безопасности США собирало информацию о юзерах через cookie-файлы компании Google и использовало их в рамках киберопераций.
Браузеры стали вводить ограничения. С 2020 года Safari, например, по умолчанию блокирует сторонние «куки» и сокращает срок их жизни до двух недель. В апреле 2022 года Google дал возможность европейским пользователям своего поисковика и YouTube отказываться от всех cookie-файлов одним кликом. Ранее в одно нажатие можно было принять все «куки», а вот настроить их было проблематично.
На это обратил внимание французский регулятор, заявив, что таким образом Google ограничивает права пользователей в угоду своему рекламному бизнесу. В итоге он оштрафовал компанию на €150 млн. Правда, нововведения Google бесполезны для их действующих пользователей, которые уже согласились на все «куки»: всё равно настройки придется поправлять вручную.
В Google Chrome они находятся в одноименном разделе «Настройки», далее — «Конфиденциальность», «Файлы cookie и другие данные сайтов». Там же серым шрифтом указаны действующие разрешения для сторонних файлов cookie.
В Европе с 2018 года установка cookie регулируется законом — Общим регламентом по защите данных (The General Data Protection Regulation, он же GDPR). Им, среди прочего, и руководствовался французский регулятор, назначая штраф IT-корпорации. Это одна из причин, почему сайты массово начали показывать окошки с просьбой дать разрешение на cookies.
Действие GDPR не распространяется на Россию, поскольку территориально ограничивается ЕС, отмечает в беседе с «Известиями» член Ассоциации юристов России, владелец бизнес-школы Katkov.School Павел Катков. Однако если российская компания обрабатывает персональные данные европейских пользователей, то на территории Евросоюза этот правовой акт будет распространяться на нее в полной мере, поясняет он.
Отдельного закона, регулирующего cookie, в России пока нет. «Есть дискуссия о том, являются ли соответствующие части таких файлов объектами правовой охраны с точки зрения части 4 Гражданского кодекса РФ и о том, при каких обстоятельствах они будут считаться персональными данными, защищаемыми в соответствии с федеральным законом № 152-ФЗ», — добавляет Павел Катков.
Надо ли бороться с cookie
Четверть из 32 проверенных «Лабораторией Касперского» ресурсов, среди которых 10 из масс-медиа-сегмента и два правительственных, создают «куки» на устройстве посетителя сразу при входе — без всякого согласия. А после одобрения к первому файлу загружают еще 20–30 в придачу.
— Когда за тобой следят и не спрашивают твоего мнения, это в целом неприятная ситуация, поэтому сейчас хорошим тоном считается сообщать пользователю, что с ним будут взаимодействовать через cookie-файлы, — говорит Павел Коростелев из «Кода безопасности». — Если это его устраивает, он нажимает «ок», если нет — данные и не обрабатываются.
Серьезного вреда «куки» не наносят, но несут с собой как удобства, так и дискомфорт, отмечает Антон Башарин из Swordfish Security. Первые связаны с тем, что вас и вашу информацию запоминают, а значит, не нужно вводить ее заново.
— А вот неприятность заключается в том, что собранная информация о пользователе передается третьим лицам или компаниям. Чаще всего в рекламных целях. И здесь как раз нарушается приватность, — замечает он. — Единожды зайдя на сайт электроники, вы через некоторое время получите массу рекламных баннеров в соцсетях, поисковиках и даже в почте, рассказывающих о продаже техники через интернет. И это самый безобидный пример.
Отметок в cookie может собираться достаточно много, и все они рано или поздно отправляются на сторону сервиса. А он уже формирует шаблон поведения пользователя, учитывая его увлечения и интересы, говорит собеседник «Известий»: «Имея подобную информацию, навредить можно по-разному. В первую очередь, конечно, это репутационные риски. А дальше — слежка, раскрытие бизнес-планов и инсайдов».
Нельзя однозначно сказать, что это плохая технология и «большой брат» в лице крупных корпораций следит за нами, подчеркивает, в свою очередь, Дмитрий Овчинников.
— Однако в мире цифровых технологий информация является товаром, обладает своей ценностью и может быть использована вопреки воле пользователя против него самого, — добавляет главный специалист отдела комплексных систем защиты информации «Газинформсервиса».
Он рекомендует использовать возможности защищенного просмотра веб-страниц, установить блокировщики сторонних cookie или антитрекинговые плагины, например Ghostery или встроенные возможности Mozilla. Это защитит юзера от назойливой рекламы и скроет от «любопытных глаз интернациональных корпораций», говорит собеседник.
Совсем отказаться от cookie-файлов не выйдет. «Можно, конечно, принудительно единовременно удалить «куки». Но делать так каждый раз не получится», — отмечает технический директор Swordfish Security Антон Башарин. Он подчеркивает, что на замену cookie в любом случае найдется другая технология слежения — проблема не изменится.
— Тут действует принцип «предупрежден — значит вооружен». С другой стороны, раз данные обо мне сохранены на моем компьютере, я хочу управлять доступом к ним. Именно на это направлены все инициативы и ограничения в контексте работы с cookie, — резюмирует собеседник «Известий».
