Технический аудит · 2026-05-06

politsei.ee

Паспорта, визы, ВНЖ, расследования

Один из лучших госсайтов серии по индивидуальной архитектуре: государственный Matomo, государственный чат-бот, ноль Google, ноль рекламных сетей. И всё же — три уровня Cloudflare на входе, странице и в контенте. Главная проблема не в самом сайте, а в решении RIA поставить всю страну за американский барьер.

Хронология утечки

+797 мс · уровень 1, вход

challenges.cloudflare.com — Cloudflare Bot Management (Turnstile, замена Google reCAPTCHA), 16 запросов, статус 200. Challenge-страница «Выполнение проверки безопасности» до загрузки сайта. IP, браузер, fingerprint — в Cloudflare США мгновенно, до любого согласия.

Уровни 2 и 3

static.cloudflareinsights.com (аналитика поведения) и cdnjs.cloudflare.com (JS-библиотеки). При первом визите CSP блокирует Insights (статус 0), но при повторном — проходит стабильно (статус 200).

Декларация против факта

✓ Google Maps, Facebook, LinkedIn, Twitter — у всех ноль запросов в HAR — заявлен

✓ «Не передаём данные третьим лицам» — заявлен

✓ «IP не связывается с личностью» — заявлен

+ Cloudflare на трёх уровнях — 19 передач, в политике ни слова — не заявлен

Тайминги передачи

+797 мс challenges.cloudflare.com прошёл Bot Management / Turnstile, 16 запросов. Fingerprint в США до согласия

+642386 мс static.cloudflareinsights.com прошёл Первые попытки заблокированы (статус 0), затем проходит (200)

при повторном визите static.cloudflareinsights.com прошёл Статус 200 сразу — никакой случайности, стабильно

за сессию piwik.smit.ee (Matomo) прошёл Matomo на государственном сервере SMIT (Эстония) — это плюс

Зафиксированные трекеры

Cloudflare Bot Management (Turnstile)
Cloudflare Insights
Cloudflare CDN (cdnjs)
Matomo (piwik.smit.ee)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Cloudflare получает данные каждого посетителя на трёх уровнях (вход, страница, контент) без согласия и правового основания.
GDPR Art. 7

Механизм согласия отсутствует. Проверка Cloudflare на входе происходит до любого согласия и взаимодействия.
GDPR Art. 13(1)(e)

Cloudflare (19 реальных передач) не задекларирован как получатель. При этом политика декларирует Google Maps, Facebook, LinkedIn, Twitter — у всех ноль запросов в HAR.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Cloudflare) не указан. Передача без SCC.
GDPR Art. 5(1)(a) — стабильность CSP

Политика подразумевает контроль, но CSP нестабильна: при повторном визите Cloudflare Insights проходит стабильно (статус 200) после прохождения Bot Management.

Контекст

politsei.ee — сайт Департамента полиции и погранохраны Эстонии (PPA). Выдаёт паспорта, визы, виды на жительство, расследует преступления, регистрирует иностранцев — один из крупнейших департаментов прямого контакта с гражданами. HAR: 217 запросов, 6 доменов.

Системная находка — три уровня Cloudflare

Впервые в серии на государственном сайте видна явная challenge-страница: «Выполнение проверки безопасности. Этот веб-сайт использует сервис безопасности для защиты от вредоносных ботов». Это Cloudflare Bot Management, и за ним стоят все госсайты Эстонии. Cloudflare работает на трёх уровнях. Уровень 1 — вход: challenges.cloudflare.com (16 запросов, +797 мс) проверяет каждого посетителя до загрузки страницы, до любого согласия; IP, браузер и fingerprint попадают в Cloudflare США мгновенно. Уровень 2 — страница: static.cloudflareinsights.com, аналитика поведения. Уровень 3 — контент: cdnjs.cloudflare.com, JS-библиотеки. Это не три решения трёх разработчиков, а единая государственная IT-политика: одно решение, вся страна за американским посредником.

Почему CSP не держит

Два продукта одного вендора работают в связке. challenges.cloudflare.com (Bot Management / Turnstile, замена Google reCAPTCHA) проверяет посетителя и при успехе выдаёт пропуск. Этот пропуск открывает дверь для static.cloudflareinsights.com — второго продукта Cloudflare. CSP, блокировавшая Insights при первом заходе (статус 0 дважды), перестаёт срабатывать после того, как Turnstile выдал разрешение: при повторном визите Insights проходит сразу (статус 200). Это механизм Cloudflare whitelist — после прохождения Bot Management скрипты Cloudflare получают зелёный свет автоматически. Один вендор, два продукта: первый открывает дверь второму, и CSP становится декорацией.

Что сделано правильно — и здесь немало

Аналитика — Matomo на государственном сервере piwik.smit.ee (SMIT), данные остаются в Эстонии. Чат-бот buerokratt.politsei.ee — на государственных серверах, разговоры не уходят в американские облака. Нет Google Fonts, нет Google Tag Manager, нет DoubleClick, нет browser-update.org, нет рекламных сетей, ноль неизвестных внешних доменов. Из всех госсайтов серии с нарушениями politsei.ee — один из лучших по индивидуальной архитектуре.

Декларация против факта — четыре расхождения

Политика заявляет: «Мы не раскрываем и не передаём персональные данные третьим лицам» — а Cloudflare получает данные каждого посетителя на трёх уровнях. Это четвёртый раз для этой формулировки в серии (president.ee, oiguskantsler.ee, sotsiaalkindlustusamet.ee) — государственный шаблон, системно игнорирующий передачу через внешние сервисы. Политика декларирует Google Maps, Facebook, LinkedIn и Twitter — у всех ноль запросов в HAR; о Cloudflare (19 реальных передач) — ни слова. Заявляет «IP не связывается с личностью» — но то, что не связывает Полиция, не означает, что не связывает Cloudflare. И подразумевает контроль через CSP — которого по факту нет.

Вывод

Полиция считает сайт чистым — и по индивидуальной архитектуре почти права: государственный Matomo, государственный чат, ни Google, ни рекламных сетей. Главная проблема не здесь. Главная проблема — решение RIA поставить всю страну за американский барьер Cloudflare, на трёх уровнях, до любого согласия. И одно дело знать это, другое — доказать публично и фактически. HAR это и делает.

Доказательство

Оригинал (разбор)

HAR-файл: ee/politsei-ee-2026-05-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом politsei.ee.

2. Обстоятельства
Я посетил сайт politsei.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cloudflare получает данные каждого посетителя на трёх уровнях (вход, страница, контент) без согласия и правового основания.

2) Механизм согласия отсутствует. Проверка Cloudflare на входе происходит до любого согласия и взаимодействия.

3) Cloudflare (19 реальных передач) не задекларирован как получатель. При этом политика декларирует Google Maps, Facebook, LinkedIn, Twitter — у всех ноль запросов в HAR.

4) Механизм передачи данных в США (Cloudflare) не указан. Передача без SCC.

5) Политика подразумевает контроль, но CSP нестабильна: при повторном визите Cloudflare Insights проходит стабильно (статус 200) после прохождения Bot Management.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/politsei.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(a) — стабильность CSP

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]