Всем привет! Меня зовут Михаил Парфенов, я являюсь Application Security-архитектором в DPA Analytics. В мае 2025 мной проводилось исследование безопасности российских frontend-приложений. Были проверены приложения более 3000 крупнейших коммерческих российских компаний.

Главные страницы (корпоративных сайтов, порталов, личных кабинетов, социальных сетей, маркетплейсов и т.п.) открывались в frontend-песочнице, фиксирующей составляющие и действия frontend-приложения (в первую очередь поведение JavaScript-кода). В течение одной минуты на странице эмулировались действия пользователя (скролл, движение мыши). Анализ не оказывал влияния/нагрузки на приложения и основан на общедоступной информации.

Что анализировалось?

• Из каких скриптов состоит приложение?

• Загружаются ли скрипты со сторонних хостов?

• Куда отправляет сетевые запросы (хосты/страны)?

• Какие API браузера (WebAPI) вызывает js-код?

• Используется ли в приложении Content Security Policy (CSP)?

• Эффективность конфигурации CSP и многое другое.

Результаты исследования

Краткие результаты исследования я представил в своем докладе на PHDays 2025, а полные результаты опубликую в своем telegram-канале @FrontSecOps в конце июня.

Интерпретация результатов данного исследования – тема не однозначная, особенно с разных точек зрения (AppSec / ИБ / Dev), и будет рассмотрена в отдельной статье. Вот несколько основных метрик.

• 64 % приложений загружают скрипты с хостов за пределами РФ.

• 71 % приложений отправляют сетевые запросы на зарубежные хосты.

Это довольно много с учетом политической ситуации, требований Роскомнадзора, импортозамещения, возможных блокировок зарубежных IP-адресов и других факторов. Я решил проанализировать, какие зарубежные хосты встречаются чаще всего. Кроме предсказуемых хостов www.google-analytics.com, fonts.gstatic.com, cdnjs.cloudflare.com и других в топе оказался следующий хост.

Изучаем подробнее. Действительно, все frontend-приложения, передающие данные на данный хост построены на CMS 1С-Битрикс. Возможно, это модуль Битрикс Веб-Аналитика (https://www.1c-bitrix.ru/products/cms/modules/web-analytics/), но судя по документации этот модуль работает локально, а не загружает скрипт с внешнего хоста.

Как работает Битрикс Аналитика?

В коде веб-страниц размещен инлайн-скрипт, который при выполнении загружает в браузер пользователя внешний скрипт, размещенный по адресу: https://bitrix.info/ba.js.

<script>var _ba = _ba || []; _ba.push(["aid", "123abc"]); _ba.push(["host", "%hostname%"]); (function() {var ba = document.createElement("script"); ba.type = "text/javascript"; ba.async = true;ba.src = (document.location.protocol == "https:" ? "https://" : "http://") + "bitrix.info/ba.js";var s = document.getElementsByTagName("script")[0];s.parentNode.insertBefore(ba, s);})();</script>

Этот скрипт собирает данные о поведении пользователя, посещенных страницах, фрагменты веб-страниц (например, заголовки) и другие данные, типичные для систем веб-аналитики, и отправляет на эндпойнт: https://bitrix.info/bx_stat.

Являются ли данные, собираемые системами веб-аналитики, персональными?

Споры на тему, что является персональными данным (ПД), а что нет, будут вечными. До сих пор регулярно встречаются вопросы, является ли ПД только ФИО, а имя + телефон, а только email… Предлагаю здесь ориентироваться на действия регулятора.

В марте 2025 года Роскомнадзор направлял российским коммерческим компаниям требования об удалении с сайтов скрипта Google Analytics, т.к. «использование метрической программы Google Analytics может указывать на сбор ПД с использованием баз данных, находящихся за пределами РФ», а также тем, что с 2023 года трансграничная передача ПД без уведомления Роскомнадзора запрещена.

Также некоторые системы аналитики злоупотребляют доступом и собирают со страниц избыточные данные, например, размещение подобных скриптов в личных кабинетах/интернет магазинах может быть привести к передаче на сторонние серверы ПД всех посетителей в явном виде (если они выводятся на страницу).

По GDPR онлайн-идентификаторы и данные о поведении пользователя считаются персональными.

Поэтому на мой взгляд данные, собираемые любой системой аналитики, следует считать персональными. Следовательно, CMS Битрикс отправляет персональные данные наших пользователей/клиентов в Ирландию.

Также отмечу, что на вероятность проведения контрольных мероприятий (в т.ч. проверок) Роскомнадзора влияют:

• Сбор ПД, с использованием БД, находящихся за пределами РФ.

• Сбор ПД, с использованием иностранных программ и сервисов.

• Трансграничная передача ПД на территорию иностранных государств.

Думаю, что последнее чего ожидают российские компании, внедрившие российскую CMS, это получение штрафа за трансграничную передачу ПД без согласия пользователя и уведомления Роскомнадзора, особенно с учетом увеличения штрафов за нарушения связанные с ПД с 30 мая 2025 года.

Сколько компаний в зоне риска?

По результатам исследования скрипт Битрикс Аналитики обнаружен в 21% web-приложений, это более 650 крупнейших российских компаний. Ниже представлено распределение по различным отраслям.

Проверяем на стенде

На мой взгляд важным вопросом является, знают ли компании о наличии внешней системы аналитики в CMS? Возможно, эта опция включена осознанно, тогда ситуация не так критична.

Для проверки с официального сайта была загружена виртуальная машина 1C-Битрикс и произведена инсталляция последней версии 1С-Битрикс: Управление сайтом (версия 25.100.400) с различными вариантами лицензий.

В лицензии «Бизнес» в административной панели есть раздел Веб-Аналитика, но он относится к другим функциям, не связанным со скриптом https://bitrix.info/ba.js. Также в административном интерфейсе отсутствуют другие параметры, которые позволяют отключить внедрение данного скрипта на страницы.

После создания тестового сайта было проверено наличие скрипта на страницах. Результаты указаны в таблице.

В документации на CMS отсутствует какое-либо упоминание внедрения внешнего скрипта аналитики, размещенного на хосте в Ирландии. Скрипт внедряется по дефолту во все редакции 1С-Битрикс: Управление сайтом (вспоминаем про принцип Secure/Privacy by Default).

Таким образом делаем вывод, что компании, использующие CMS, могут даже не догадываться о таком поведении, если не используют специализированные решения для анализа безопасности frontend-приложений.

Как отключить?

В интернете найдено 2 статьи 2017 года (первая и вторая), показывающие способ отключения внедрения данного скрипта аналитики.

Необходимо в файл /home/bitrix/www/bitrix/.settings.php добавить в массив параметров следующий объект.

'analytics_counter'  => array(
  'value' => array(
     'enabled' => false,
  ),
),

Проверил. Действительно работает. Скрипт перестает добавляться на страницы. Очевидна ли данная опция и описано ли это в официальной документации? Нет.

Заключение

1. С точки зрения информационной безопасности подобное поведение приложения (в данном случае CMS) является «недекларированными возможностями» (НДВ).

2. С учетом того, что трансграничная передача ПД без уведомления Роскомнадзора запрещена, а компании, не знающие о таком поведении CMS, не указывают трансграничную передачу ПД в политике обработки/согласии на обработку ПД на сайтах, данная функциональность CMS повышает риск проведения проверок регуляторов и получения штрафов/финансового ущерба для компаний.

3. Всем компаниям, использующим 1С-Битрикс: Управление сайтом, рекомендую как можно скорее отключить использование данного скрипта аналитики по указанной выше инструкции.

4. Вендоры ПО должны анализировать поведение своих frontend-приложений, чтобы не подвергать риску своих заказчиков/клиентов (утечки в frontend-приложениях не обнаруживаются WAF, NGWF и другими средствами защиты, т.к. происходят в «слепой» зоне - прямо в браузере пользователя).

5. ИБ/AppSec-специалисты должны анализировать поведение frontend-приложений, чтобы обнаруживать подобное и другие вредоносное поведение скриптов и оперативно реагировать для снижения рисков утечки данных и атак на пользователей.

Update 18.06.2025

Несколько дней назад (около 07.06.2025) сервис был перенесен на территорию РФ. В данный момент по адресу https://bitrix.info/ba.js отдается пустой скрипт, т.е. сбор данных не осуществляется, но сам скрипт все еще внедряется ядром CMS.

Со мной связались коллеги из Битрикс, данная функция будет удалена в ближайших обновлениях CMS, установите последние обновления как можно скорее. Спасибо коллегам из Битрикс за оперативное реагирование на данное исследование.

Компаниям, использующим CMS, рекомендую отключить внедрение скрипта в любом случае, т.к. внешний скрипт в любой момент может быть изменен.

P.S.

Судя по постам 2017 года на форуме о способах отключения описанного скрипта и сервисам, отображающим историю изменения DNS записей, бэкенд Битрикс Аналитики размещался в Ирландии с 2014 года. Данные пользователей отправлялись за пределы РФ больше 11 лет.

В большинстве инцидентов, связанных с frontend-приложениями, время присутствия вредоносного кода измеряется годами/месяцами/неделями. Классические средства защиты (WAF, NGFW) и анализаторы безопасности приложений (SAST,DAST,SCA/OSA) не обнаруживают утечки данных на стороне клиента. Даже при защищенном бэкенде данные могут годами утекать прямо в браузере пользователя, если регулярно не анализировать поведение frontend-приложений.

Я веду telegram-канал FrontSecOps о безопасности frontend-приложений: https://t.me/FrontSecOps. Кому интересны направления поведенческого анализа приложений, инструменты обнаружения утечек в браузере и анализа поведения скриптов - добро пожаловать!