Технический аудит · 2026-05-06

kapo.ee

Департамент внутренней безопасности

Сайт контрразведки, куда приходят информаторы, журналисты и люди с чувствительными данными. Три американских трекера прописаны в коде и запускаются при каждом переходе — но все заблокированы CSP. Данные не ушли. Единственный щит — одна строка политики безопасности.

Хронология утечки

+220–235 мс · при загрузке

Три трекера (GTM, IBM Instana, Cloudflare Insights) инициируют запросы при каждом переходе между страницами. Все получают статус 0 — заблокированы CSP.

Итог сессии

Данные не ушли никуда. Это один из самых чистых результатов в серии по реальной передаче. Но архитектура спроектирована с расчётом на работу трекеров.

Декларация против факта

✓ Политика: данные третьим лицам не передаются (раздел 2.5) — заявлен

+ Google Tag Manager — GTM-5XSF9BX, прописан в коде — не заявлен

+ IBM Instana — eum.instana.io, прописан в коде — не заявлен

+ Cloudflare Insights — static.cloudflareinsights.com, прописан в коде — не заявлен

Тайминги передачи

+220 мс eum.instana.io заблокирован IBM Instana — End User Monitoring (IBM Corporation, США). Статус 0

+221 мс static.cloudflareinsights.com заблокирован Cloudflare Insights — аналитический маяк. Статус 0

+235 мс www.googletagmanager.com заблокирован Google Tag Manager, контейнер GTM-5XSF9BX. Статус 0

Зафиксированные трекеры

Google Tag Manager (заблокирован CSP)
IBM Instana (заблокирован CSP)
Cloudflare Insights (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Google Tag Manager, IBM Instana и Cloudflare Insights не задекларированы как потенциальные получатели данных, хотя прописаны в коде сайта.
GDPR Art. 5(1)(f)

Принцип целостности и конфиденциальности: код содержит инструменты передачи данных трём американским корпорациям, что противоречит декларируемой политике.

Контекст

Kaitsepolitseiamet (КаПо) — контрразведка Эстонии: борьба с терроризмом, защита конституционного строя, противодействие иностранным спецслужбам. Сюда обращаются информаторы, журналисты-расследователи, люди с чувствительными данными о коррупции и угрозах безопасности. HAR от 6 мая 2026 года: 167 запросов, 5 доменов.

Что сделано правильно — почти всё

Все три внешних трекера заблокированы CSP, у всех статус 0. Нет Google Fonts, YouTube, DoubleClick, browser-update.org, рекламных сетей. Ноль Set-Cookie, ноль consent-запросов — и они не нужны, потому что спрашивать нечего. По реальной передаче данных это один из самых чистых результатов в серии: данные не ушли никуда.

Что прописано в коде — и почему это важно

Все три трекера заблокированы, но все три прописаны в коде сайта — это принципиальная разница. GTM-контейнер GTM-5XSF9BX, eum.instana.io (IBM Instana, мониторинг производительности от IBM, США) и static.cloudflareinsights.com — три американских сервиса в коде сайта контрразведки. Решение о подключении было принято. CSP принял другое решение — заблокировать. Запросы идут синхронно, по восемь раз за сессию: +220 мс, +221 мс, +235 мс.

Противоречие политики

Политика КаПо написана детально и грамотно: содержит специальные основания для ограничения прав субъектов данных (julgeolekuasutuste seadus §21-1), что обоснованно для спецслужбы. Но раздел 2.5 заявляет, что персональные данные не раскрываются и не передаются третьим лицам, кроме случаев, предусмотренных законом. Между тем GTM, IBM Instana и Cloudflare Insights прописаны в коде. Если бы CSP не работал, данные уходили бы в Google, IBM и Cloudflare автоматически при каждом визите — без законного основания. Политика декларирует отсутствие передачи; код содержит три инструмента для неё.

Вывод

Это не нарушение в классическом смысле — данные не ушли. Но это задокументированная архитектурная уязвимость. CSP — единственная линия защиты: если разработчик обновит сайт и случайно изменит политику безопасности, три трекера заработают мгновенно, потому что они уже прописаны и ждут. На коммерческом сайте это технический долг. На сайте контрразведки — системный риск. Два противоположных решения живут в одном коде: «подключить» и «заблокировать». Пока побеждает второе. На этот раз — пронесло. Но доверие — это не архитектура.

Доказательство

Оригинал (разбор)

HAR-файл: ee/kapo-ee-2026-05-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kapo.ee.

2. Обстоятельства
Я посетил сайт kapo.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager, IBM Instana и Cloudflare Insights не задекларированы как потенциальные получатели данных, хотя прописаны в коде сайта.

2) Принцип целостности и конфиденциальности: код содержит инструменты передачи данных трём американским корпорациям, что противоречит декларируемой политике.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kapo.ee/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 5(1)(f)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]