Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Вот их ответ в декабре 17-го:
И на ресурсе не последовало ответа никому.
Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.
С 25 мая 2018 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.
Поверить им стоило, что они окончательно убрали трекинг? Я поверил.
24 января 2018-го я обратил внимание на ошибки в консоли сайта:
и тут же забил тревогу. Списался по почте с командой uLogin — ответ:
Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.
А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2017-го
Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.
И даже в мае 2018-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).
Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.
Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?
Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.
p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.
Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.
upd. 2018-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:
Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Вот их ответ в декабре 17-го:
Там есть запросы на наш счетчик ли.ру и на наш сайт. Партнерские запросы были ранее, но мы их окончательно убрали несколько месяцев назад.— но они слукавили — запрос к x01.aidata.io они отправляли:
И на ресурсе не последовало ответа никому.
Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.
С 25 мая 2018 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.
Поверить им стоило, что они окончательно убрали трекинг? Я поверил.
24 января 2018-го я обратил внимание на ошибки в консоли сайта:
и тут же забил тревогу. Списался по почте с командой uLogin — ответ:
Это скрипт-трекер от нашего партнера.
Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.
А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2017-го
Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.
И даже в мае 2018-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).
Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.
Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?
Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.
p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.
Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.
upd. 2018-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:
Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.
Only registered users can participate in poll. Log in, please.
Вправе команда uLogin трекать данные из форм, что вводят наши пользователи?
3.46% Да24
75.94% Нет527
2.45% Сливать данные третьей стороне не зазорно17
5.91% Мне все равно41
33.57% Такое поведение считаю нечестным233
25.07% Они должны использовать только запросы к своему серверу.174
694 users voted. 170 users abstained.