Технический аудит · 2026-06-06

ohtuleht.ee

Крупнейшая эстонская таблоидная газета — часть медиагруппы Ekspress

883 запроса, 149 доменов. InMobi CMP с TCF 2.0 — но cookie-sync запросы уходят с gdpr=0. Список партнёров содержит Baidu USA и IFLYTEK (Гонконг). GPT загружается до баннера.

Хронология утечки

+162 мс · до баннера

Cloudflare Insights — до согласия.

+186 мс · до баннера

npttech.com/advertising.js — рекламный скрипт до согласия.

+314 мс · до баннера

Google Fonts — 19 запросов за сессию. IP в Google, США.

+1045 мс · до баннера

Setupad (stpd.cloud) — Prebid header bidding инициализируется.

+1729 мс · до баннера

Google Publisher Tag (securepubads.g.doubleclick.net/gpt.js) — рекламная инфраструктура Google.

+4364 мс · баннер готов

InMobi CMP полностью загружен: vendor list, цели на эстонском языке.

+4557–12935 мс

Cookie-sync цепочки: OpenX, Onetag, Adform, Criteo, SmileWanted, SmartAdserver, InMobi — с gdpr=0.

+6156 мс

TikTok Pixel (CVMGS93C77UDNRMCC2SG) — данные в ByteDance.

Декларация против факта

✓ Сотни IAB TCF 2.0 вендоров — через InMobi CMP — заявлен

+ npttech.com — до баннера — не заявлен

+ Cloudflare Insights — до баннера — не заявлен

Тайминги передачи

+186 мс www.npttech.com до баннера advertising.js — до согласия

+1729 мс securepubads.g.doubleclick.net до баннера GPT — рекламная инфраструктура

+2166 мс cmp.inmobi.com баннер TCF 2.0 баннер

+11680 мс sync.inmobi.com gdpr=0 Cookie-sync с gdpr=0&gdpr_consent=

Зафиксированные трекеры

InMobi CMP с TCF 2.0 (cmp.inmobi.com)
Google Publisher Tag / GPT (securepubads.g.doubleclick.net)
Google Tag Manager (GTM-NJBX26)
Google Analytics GA4 (G-4VJVM198JT)
Google Ads (AW-950017448, AW-944384132)
TikTok Pixel (analytics.tiktok.com)
Gemius (gaee.hit.gemius.pl)
Cxense (cdn.cxense.com)
NPTTech (www.npttech.com)
JW Player (jwplatform.com, jwplayer.com)
Setupad (wb.setupad.com, prebid-stag.setupad.net)
Criteo (gum.criteo.com, ssp-sync.criteo.com)
Prebid header bidding (множество SSP-партнёров)
Cookie sync: Sparteo, SmileWanted, OpenX, Adform, Onetag, Lijit, BetweenDigital, 1rx, RichAudience, FreeWheel и другие

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GPT (DoubleClick, +1729 мс), npttech.com (+186 мс), Cloudflare Insights (+162 мс) и Google Fonts (+314 мс) загружаются до появления InMobi CMP (+2166 мс). Рекламная инфраструктура инициализируется до баннера.
GDPR Art. 7, TCF 2.0

InMobi CMP отправляет cookie-sync запросы с параметром gdpr=0 и gdpr_consent= (пустой): sync.inmobi.com/oRTB?gdpr=0&gdpr_consent=. Это означает что синхронизация идентификаторов между рекламными сетями происходит без передачи согласия — как если бы пользователь находился вне зоны GDPR.
GDPR Art. 13(1)(e)

Список партнёров содержит сотни вендоров включая Baidu USA LLC, IFLYTEK (HONG KONG) COMPANY LIMITED, TECDO TECHNOLOGY CO. LIMITED — китайские компании на которые распространяется китайское законодательство о доступе к данным. Механизм передачи данных в Китай не указан.
GDPR Art. 44, Chapter V

Среди IAB-партнёров присутствуют Baidu USA LLC (дочерняя структура Baidu, КНР) и IFLYTEK Hong Kong (дочерняя iFLYTEK, КНР). Данные европейских пользователей потенциально доступны китайским властям.

Контекст

Õhtuleht — крупнейший эстонский таблоид, часть медиагруппы Ekspress. Один из самых посещаемых новостных сайтов Эстонии. HAR: 883 запроса, 149 уникальных доменов. Сессия на статье.

149 доменов — рекламная экосистема полного цикла

Для сравнения: euronics.ee имел 44 рекламных домена и это был максимум среди коммерческих сайтов серии. У ohtuleht.ee — 149 доменов. Это полноценная programmatic-рекламная экосистема: Google Publisher Tag, Prebid header bidding через Setupad, cookie-sync с десятками SSP, аналитика через Gemius и Cxense.

gdpr=0 — ключевая находка

InMobi CMP реализует TCF 2.0 и загружает vendor list на эстонском языке. Но cookie-sync запросы уходят с параметром gdpr=0&gdpr_consent= (пустой строкой):

Доказательство

Оригинал (разбор)

HAR-файл: ee/ohtuleht-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ohtuleht.ee.

2. Обстоятельства
Я посетил сайт ohtuleht.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GPT (DoubleClick, +1729 мс), npttech.com (+186 мс), Cloudflare Insights (+162 мс) и Google Fonts (+314 мс) загружаются до появления InMobi CMP (+2166 мс). Рекламная инфраструктура инициализируется до баннера.

2) InMobi CMP отправляет cookie-sync запросы с параметром gdpr=0 и gdpr_consent= (пустой): sync.inmobi.com/oRTB?gdpr=0&gdpr_consent=. Это означает что синхронизация идентификаторов между рекламными сетями происходит без передачи согласия — как если бы пользователь находился вне зоны GDPR.

3) Список партнёров содержит сотни вендоров включая Baidu USA LLC, IFLYTEK (HONG KONG) COMPANY LIMITED, TECDO TECHNOLOGY CO. LIMITED — китайские компании на которые распространяется китайское законодательство о доступе к данным. Механизм передачи данных в Китай не указан.

4) Среди IAB-партнёров присутствуют Baidu USA LLC (дочерняя структура Baidu, КНР) и IFLYTEK Hong Kong (дочерняя iFLYTEK, КНР). Данные европейских пользователей потенциально доступны китайским властям.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ohtuleht-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7, TCF 2.0; GDPR Art. 13(1)(e); GDPR Art. 44, Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]