Технический аудит · 2026-05-19

k-rauta.ee

Финская сеть строительных магазинов в Эстонии

Сайт заблокировал посетителя за использование VPN — законного инструмента приватности — автоматически, без объяснений. А внутри: три рекламных брокера одновременно, американская платформа отзывов с 6659 запросами, нераскрытые трекеры и утечка IP на сервер конкурента. Защищают они себя — не тебя.

Хронология утечки

Блокировка за VPN

При заходе через VPN Cloudflare решил, что посетитель — угроза, и заблокировал доступ без объяснения причин. Это автоматизированное решение, ограничивающее доступ к услуге (ст.22 GDPR). После отключения VPN сайт загрузился.

Платформа отзывов и поиск

BazaarVoice (США) — 6659 запросов; конфигурация в коде senukai-lt/krauta: данные эстонских покупателей идут через литовскую инсталляцию Senukai. LupaSearch (Латвия, 201 запрос) записывает каждый поисковый запрос и просмотр товара. Bitrec (shark.bitrec.com) — рекомендательный движок Senukai. Все три — не в политике.

Брокеры и утечка IP

Adform, Appnexus (Xandr) и RTB House — три рекламных брокера одновременно, собирают уникальные ID для таргетинга. Изображения товаров грузятся с серверов 1a.lv (латвийский конкурент) — значит 1a.lv получает IP каждого посетителя.

Декларация против факта

+ BazaarVoice — 6659 запросов, литовская инсталляция Senukai — не заявлен

+ Bitrec, LupaSearch — рекомендации и поиск — не заявлен

+ Adform, Appnexus, RTB House — рекламные брокеры — не заявлен

+ 1a.lv — утечка IP конкуренту — не заявлен

Тайминги передачи

при VPN Cloudflare Bot Management заблокирован Доступ закрыт автоматически за VPN, без объяснения (ст.22)

за сессию BazaarVoice прошёл 6659 запросов. Через литовскую инсталляцию Senukai. США

за сессию LupaSearch прошёл 201 запрос. Каждый поиск и просмотр товара. Латвия

при загрузке 1a.lv прошёл Изображения товаров — IP посетителя уходит конкуренту

Зафиксированные трекеры

BazaarVoice (США)
Bitrec / Senukai
LupaSearch (Латвия)
Adform + Appnexus/Xandr + RTB House
Cloudflare Bot Management

Зафиксированные нарушения

GDPR Art. 22

Cloudflare автоматически заблокировал доступ к сайту при использовании VPN (законного инструмента приватности) — без объяснения причин. Автоматизированное решение, ограничивающее доступ к услуге. После отключения VPN сайт загрузился.
GDPR Art. 13(1)(e)

Bitrec (shark.bitrec.com, рекомендательный движок Senukai, 15 запросов), LupaSearch (Латвия, записывает каждый поисковый запрос и просмотр товара, 201 запрос) не упомянуты в политике cookies. BazaarVoice (6659 запросов) обрабатывает данные эстонских покупателей через литовскую инсталляцию Senukai (senukai-lt/krauta) — не объяснено.
GDPR Art. 13(1)(f)

BazaarVoice (США) — 6659 запросов. Adform, Appnexus (Xandr), RTB House — три рекламных брокера одновременно собирают уникальные ID для таргетированной рекламы. Механизмы передачи не указаны.
GDPR Art. 5(1)(f)

Изображения товаров загружаются напрямую с серверов 1a.lv (латвийский конкурент) — то есть 1a.lv получает IP-адрес каждого посетителя k-rauta.ee.

Контекст

k-rauta.ee — сайт K-Rauta, финской сети строительных магазинов в Эстонии (в регионе входит в группу Senukai). Разбор начался необычно: при попытке зайти через VPN сайт заблокировал доступ.

Блокировка за приватность

При заходе через VPN Cloudflare решил, что посетитель представляет угрозу, и закрыл доступ к сайту — без объяснения причин, по алгоритму. VPN — законный инструмент защиты приватности; никаких команд не вводилось, ничего необычного не делалось. Это автоматизированное решение, ограничивающее доступ к услуге, что относится к ст.22 GDPR. После отключения VPN сайт загрузился — и стало видно, что внутри.

Что внутри

BazaarVoice (американская платформа отзывов) — 6659 запросов; конфигурация в коде senukai-lt/krauta означает, что данные эстонских покупателей обрабатываются через литовскую инсталляцию Senukai, и это в политике не объяснено. LupaSearch (латвийская AI-платформа поиска, 201 запрос) записывает каждый поисковый запрос и каждый просмотренный товар — в политике не упомянута. Bitrec (shark.bitrec.com) — рекомендательный движок Senukai, 15 запросов, в списке обработчиков отсутствует. Adform, Appnexus (Xandr) и RTB House — три рекламных брокера одновременно собирают уникальные ID для таргетированной рекламы. А изображения товаров загружаются напрямую с серверов 1a.lv — латвийского конкурента, который таким образом получает IP-адрес каждого посетителя k-rauta.ee; случайно это или нет — вопрос открытый.

Вывод

Картина двойная. Снаружи сайт заблокировал посетителя за использование VPN — инструмента приватности — автоматически и без объяснений. Внутри — три рекламных брокера, два нераскрытых трекера, платформа отзывов с тысячами запросов и утечка IP на сервер прямого конкурента. Цель разбора — не утопить магазин, а показать типичную картину: система пристально следит за посетителем и готова заблокировать его по алгоритму, но та же система спокойно раздаёт его данные брокерам и даже конкуренту. Защищают они себя — не тебя.

Доказательство

Оригинал (разбор)

HAR-файл: ee/k-rauta-ee-2026-05-19.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом k-rauta.ee.

2. Обстоятельства
Я посетил сайт k-rauta.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 19.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cloudflare автоматически заблокировал доступ к сайту при использовании VPN (законного инструмента приватности) — без объяснения причин. Автоматизированное решение, ограничивающее доступ к услуге. После отключения VPN сайт загрузился.

2) Bitrec (shark.bitrec.com, рекомендательный движок Senukai, 15 запросов), LupaSearch (Латвия, записывает каждый поисковый запрос и просмотр товара, 201 запрос) не упомянуты в политике cookies. BazaarVoice (6659 запросов) обрабатывает данные эстонских покупателей через литовскую инсталляцию Senukai (senukai-lt/krauta) — не объяснено.

3) BazaarVoice (США) — 6659 запросов. Adform, Appnexus (Xandr), RTB House — три рекламных брокера одновременно собирают уникальные ID для таргетированной рекламы. Механизмы передачи не указаны.

4) Изображения товаров загружаются напрямую с серверов 1a.lv (латвийский конкурент) — то есть 1a.lv получает IP-адрес каждого посетителя k-rauta.ee.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/k-rauta.ee/

3. Нарушенные положения
GDPR Art. 22; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Art. 5(1)(f)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]