TL;DR После установки Яндекс.Браузера с опцией отправки статистики, слишком много данных, на мой взгляд, отправляется куда-то в недра api.browser.yandex.ru. С помощью коллеги по цеху ИБ – Олега Анциферова – удалось раскопать следующее: улетает список пользователей, список установленного ПО, файл hosts и т.д. Под катом подробности.

С чего всё началось

Как-то раз в учебных целях настраивали мы в DLP-системе правило, которые бы уведомляло о фактах передачи логинов\паролей пользователей туда, куда не следует. А так как творчество коллективное, то в процессе обсуждения возникли разные предложения по реализации, как-то:

• искать в сообщениях с помощью фразового поиска совпадение по одному из слов, а-ля: login, password, логин, пароль и т.п;

• искать с помощью поиска по регулярным выражениям «слова», похожие на пароль;

• выявлять факты передачи «кредов» от каких-нибудь критичных учёток.

Последний пункт и стал отправной точкой для этого поста. Запрос был настроен на поиск имени пользовательской учётки во всех каналах (а не только в мессенджерах, как обычно делают). И вот тут появился неожиданный результат. Из-под учётки пользователя на api.browser.yandex.ru ушёл список всех учёток, имеющих доступ к данной машине.

Естественно, сам пользователь ничего не отправлял. Захотелось выяснить, насколько глубока кроличья нора.

И насколько?

Исходные условия: новая чистая машина без установленного Яндекс.Браузера. На машину ставится агент DLP-системы. Затем ставим Я.Б. с параметрами по-умолчанию.

После установки процесс bct.exe, находящийся по адресу c:\users\USERNAME\appdata\local\temp\yandexrescuetool\bct.exe передаёт список пользователей.

Передаёт список DNS

И подменяет на свой (?)

Также передаётся информация о том, что машина принимает RDP-сессии (и их список, если они установлены в данный момент).

А чтобы пользователь меньше волновался, надо его меньше тревожить всякими уведомлениями.

Тем временем процесс browser.exe в своём пакете отправляет на api.browser.yandex.ru список установленного ПО.

Содержимое файла hosts в base64.

Может что-то и ещё интересное передаётся.

Имеет ли право компания собирать такие данные?

Да, если вы согласились с пунктом 5.1.

Любопытно, что отказаться от передачи надо до того, как начнёшь качать браузер.

После установки, конечно, тоже можно отказаться, но, возможно, будет уже поздно и данные уйдут.

Что делать?

Очевидное решение – отключить функцию автоматической отправки статистики. В этом случае не заметил ни процесса bct.exe, ни упомянутых данных в пакетах от browser.exe.

Можно также сделать отдельное правило контентной блокировки в DLP-системе для конкретного (-ых) процесса (-ов) и запретить отправлять на определённый хост пакеты, если в них есть определённая информация. Это на тот случай, если вдруг где-то как-то проскочит браузер с включённой функцией автоматической отправки статистики (или если выключенная опция вдруг совершенно случайно включится сама после какого-нибудь обновления).

Вместо выводов

Чем больше данных – тем лучше. Видимо такой логикой руководствуются многие разработчики. Но ведь есть и принцип разумной достаточности, и рекомендации не собирать избыточные данные. А вообще, возможно, всё не страшно, и просто голову поддавливает шапочка из фольги. Тем не менее, непонятно, зачем Яндексу нужны эти данные.