Технический аудит · 2026-04-16

id.ee

Информационный портал об ID-карте, Mobile-ID и Smart-ID

Портал, объясняющий гражданам, как пользоваться их цифровой личностью — ID-картой, Mobile-ID, Smart-ID. Человек заходит сюда, чтобы авторизоваться через eID. В этой же сессии, через 0,63 секунды и до любого согласия, Matomo уже передаёт данные о его визите.

Хронология утечки

+0,42 сек · до согласия

Cloudflare Insights — попытка запроса (заблокирован браузером, но IP достиг серверов Cloudflare в США).

+0,63 сек · до согласия

Matomo (matomo.ria.ee) — статус 200, затем +0,66 сек статус 204: запрос несёт название страницы, idsite=49 и метку времени. Реальная передача, до того как пользователь успел прочитать баннер.

Декларация против факта

✓ Сбор: IP, страницы, браузер, ОС, время, устройство, язык, регион — заявлен

✓ «IP-адрес не связывается с идентифицирующей информацией» — заявлен

+ Matomo — реальная передача (статус 200/204), получатель не назван — не заявлен

+ Cloudflare Insights — попытка на каждой странице, данные в США — не заявлен

+ antirobot.smit.ee — 9 запросов, не упомянут вообще — не заявлен

Тайминги передачи

+0,42 сек static.cloudflareinsights.com заблокирован Маяк Cloudflare. Браузер заблокировал, но IP достиг серверов в США

+0,63 сек matomo.ria.ee прошёл Аналитика на эстонском домене RIA — но до согласия. Статус 200

+0,66 сек matomo.ria.ee (collect) прошёл Статус 204. URL страницы, idsite=49, метка времени. Реальная передача

+1,37 сек antirobot.smit.ee прошёл Антибот-сервис SMIT. Эстонский домен, 9 запросов. В политике не упомянут

Зафиксированные трекеры

Matomo (matomo.ria.ee)
Cloudflare Insights
antirobot.smit.ee

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Matomo запускается через 0,63 секунды до любого согласия — реальная передача данных (статус 200/204). Cloudflare Insights инициирует запрос на каждой странице до согласия.
GDPR Art. 7(3)

Отсутствует равнозначная кнопка «Отказать». Баннер предлагает только «Читать условия» и «Согласен» — отказ одним кликом невозможен.
GDPR Art. 13(1)(e)

Matomo, Cloudflare Insights и antirobot.smit.ee не задекларированы в политике конфиденциальности как получатели данных. Получатели не названы вообще.
GDPR Art. 5(1)(a)

Политика утверждает, что IP-адрес «не связывается с идентифицирующей информацией». По решению Суда ЕС 2016 (Breyer) IP — персональные данные. Утверждение юридически неверно.
GDPR Chapter V

Передача данных в Cloudflare (США) без указания правового механизма. Дополнительно CSP-отчётность уходит на csp-reporting.cloudflare.com — данные о событиях сайта RIA в США.

Контекст

id.ee — официальный информационный портал об ID-карте, Mobile-ID и Smart-ID, управляемый Департаментом государственной инфосистемы (RIA). Это точка входа для граждан, которые хотят понять, как работает их электронная личность. HAR: 128 запросов, 3 внешних домена. Человек, заходящий на id.ee, скорее всего собирается авторизоваться через eID или разобраться с цифровым удостоверением личности.

Что происходит до баннера

Через 0,63 секунды после загрузки страницы — до того как пользователь физически успел прочитать баннер — Matomo (matomo.ria.ee) отправляет данные о визите (статус 204). Следующий запрос на +0,66 сек уже несёт в URL название страницы, идентификатор сайта idsite=49 и метку времени. Баннер согласия загружается параллельно: к моменту, когда пользователь его видит, данные уже ушли. Из трёх внешних доменов два эстонские — Matomo на сервере RIA и антибот antirobot.smit.ee (SMIT); это плюс по локализации, но оба запускаются до согласия. Третий — static.cloudflareinsights.com (США), браузер его заблокировал, но запрос инициирован на каждой странице, и IP достиг серверов Cloudflare.

CSP — замок есть, дверь открыта

Сайт установил Content Security Policy — это лучше, чем у большинства разобранных сайтов. Но список написан так, что любой встроенный скрипт выполняется без ограничений: строгая CSP так не работает. Дополнительно обнаружен второй заголовок content-security-policy-report-only с отчётностью на csp-reporting.cloudflare.com — данные о CSP-событиях сайта RIA уходят в США. Сам портал работает на WordPress (плагин баннера cookie-law-info 3.2.8 от стороннего разработчика WebToffee) — публичная CMS с широкой поверхностью атаки, где каждый плагин является потенциальной точкой входа.

Декларация против факта

Политика декларирует сбор IP, страниц, браузера, ОС, времени, устройства, языка и региона — но не называет ни одного получателя данных. При этом она утверждает, что IP-адрес «не связывается с идентифицирующей информацией», что юридически неверно по решению Суда ЕС: IP является персональными данными, а Matomo его передаёт. Реальные получатели — Matomo, Cloudflare Insights и antirobot.smit.ee — в политике не указаны (Art. 13(1)(e)).

Вывод

Это портал, который объясняет гражданам, как пользоваться картой, которой доверяет вся Эстония. Контекст усиливает картину: физическую ID-карту делали французская IDEMIA (контракт €40 млн) и до неё нидерландская Gemalto, чей контракт закончился скандалом с генерацией приватных ключей граждан на собственных серверах. Сам же портал об этой карте работает на WordPress и передаёт данные посетителей через 0,63 секунды после открытия страницы — раньше, чем человек успел прочитать баннер. Эстония называет это цифровым государством.

Доказательство

Оригинал (разбор)

HAR-файл: ee/id-ee-2026-04-16.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом id.ee.

2. Обстоятельства
Я посетил сайт id.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo запускается через 0,63 секунды до любого согласия — реальная передача данных (статус 200/204). Cloudflare Insights инициирует запрос на каждой странице до согласия.

2) Отсутствует равнозначная кнопка «Отказать». Баннер предлагает только «Читать условия» и «Согласен» — отказ одним кликом невозможен.

3) Matomo, Cloudflare Insights и antirobot.smit.ee не задекларированы в политике конфиденциальности как получатели данных. Получатели не названы вообще.

4) Политика утверждает, что IP-адрес «не связывается с идентифицирующей информацией». По решению Суда ЕС 2016 (Breyer) IP — персональные данные. Утверждение юридически неверно.

5) Передача данных в Cloudflare (США) без указания правового механизма. Дополнительно CSP-отчётность уходит на csp-reporting.cloudflare.com — данные о событиях сайта RIA в США.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/id.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7(3); GDPR Art. 13(1)(e); GDPR Art. 5(1)(a); GDPR Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]