Разработчик и соучредитель компании Victory Medium, занимающейся веб-аналитикой, Зак Эдвардс обнаружил в конце октября 2020 года, что сервис Google reCAPTCHA (через gstatic.com) обновил свой javascript код. Теперь он выполняет дополнительный запрос на синхронизацию пользовательских файлов cookie с сайтом google.com.
CAPTCHA – это сокращение от Completely Automated Public Turing test to tell Computers and Humans Apart (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей). reCAPTCHA — это бесплатный сервис Google, который позволяет обеспечить безопасность сайтов и защитить их от спама.
Другие разработчики также подтвердили его находку и пояснили, что, оказывается, политика Google допускает использование gstatic.com reCAPTCHA в рекламных целях.
Google использует различные домены для установки файлов cookie, используемых в своих рекламных сервисах, включая следующие домены и версии доменов для некоторых стран, например, google.fr:
- admob.com;
- adsensecustomsearchads.com;
- adwords.com;
- doubleclick.net;
- google.com;
- googleadservices.com;
- googleapis.com;
- googlesyndication.com;
- googletagmanager.com;
- googletagservices.com;
- googletraveladservices.com;
- googleusercontent.com;
- google-analytics.com;
- gstatic.com;
- urchin.com;
- youtube.com;
- ytimg.com.
Эдвардс пояснил, что Google занимается игрой в риторику, рассказывая о своем продукте reCAPTCHA. Компания утверждает, что этот сервис не используется для персонализированной рекламы» и что gstatic.com не устанавливает файлы cookie. Фактически Google в своих заявлениях игнорирует процедуру синхронизации данных, которая на самом деле там происходит после действий с кодом сервиса reCAPTCHA.
Издание Register попыталось выяснить у Google, почему компания настаивает, что не использует данные reCAPTCHA для персонализированной рекламы, заявляя об этом в условиях обслуживания reCAPTCHA. Однако, нигде в документах Google не говорится, что reCAPTCHA полностью изолирована от сбора всех связанных с рекламой данных пользователей.
Используя обнаруженную Эдвардсом «треугольную синхронизацию» два различных веб-домена могут ассоциировать файлы cookie, которые они проставляли для определенного пользователя.
В таком случае, если пользователь посещает веб-сайт, реализующий подобный сценарии отслеживания, где есть привязка к одному из двух рекламных доменов, то обе компании будут получать сетевые запросы, связанные с пользователем. И теперь каждая из них может отображать рекламу, ориентированную на этого конкретного пользователя.
Два разных домена, как правило, не должны иметь доступ к одному и тому же набору данных файлов cookie. Это зависит от способности различать собственные и сторонние ресурсы в модели безопасности определенного веб-браузера. Однако, «треугольная синхронизация» с reCAPTCHA позволяет это сделать практически в любом случае.
Google пояснила изданию Register, что не использует reCAPTCHA для «треугольной синхронизации». Сервис загружает статические ресурсы из двух мест на gstatic.com, при этом файлы cookie не анализируются и не сохраняются. Также в рамках этого процесса не выполняется их синхронизация. Вдобавок, как утверждает Google, домен gstatic.com разработан так, чтобы не иметь возможности собирать данные файлов cookie.
Тем не менее оказалось, что JavaScript код reCAPTCHA, размещенный в домене Google gstatic.com, включает несколько ссылок на файлы cookie. Также при посещении веб-страницы со встроенным виджетом reCAPTCHA у пользователя устанавливается NID cookie, даже если система может блокировать сторонние файлы cookie.
Небольшой видеоролик, демонстрирующий, как сервис Google ReCaptcha устанавливает сторонние файлы cookie, даже когда браузер Mozilla Firefox настроен на блокировку «файлов cookie для межсайтового отслеживания опубликовал в Twitter исследователь Ашкан Солтани (Ashkan Soltani).
Солтани напомнил, что в 2012 году американская Федеральная торговая комиссия оштрафовала Google на $22,5 млн за предоставление пользователям Safari ложных сведений о том, что компания не будет размещать файлы cookie для их отслеживания. Google в 2011 и 2012 годах была уличена в том, что пыталась обойти механизм блокировки сторонних файлов cookie в Safari.
Теперь же история повторяется, но с большим размахом. Может пострадать конфиденциальность многих пользователей, также в этом случае происходит нарушение законодательства некоторых стран. Например, в соответствии с Законом Калифорнии о конфиденциальности данных пользователей, нарушается их право знать, что происходит установка файлов cookie с google.com на их систему. Это же относится и к законам Евросоюза. Причем в последнем случае Google подстраховалась. Компания рекомендует разработчикам в условиях использования reCAPTCHA, чтобы для пользователей из Европейского Союза они использовали Политику согласия пользователей из ЕС.
См. также:
