Технический аудит · 2026-06-15

inteltoday.org

Блог о европейских спецслужбах (раздел «Италия»)

Раздел про итальянские спецслужбы на блоге Intel Today — площадка на WordPress.com с рекламной программой WordAds. 94 запроса, 37 доменов — крупнейший рекламный стек серии. Машинная строка согласия, которую несут все биржи, говорит «согласия нет ни на что» — а полтора десятка рекламных бирж всё равно синхронизируют идентификаторы. Это не выбор блога, а типовая схема платформы для миллионов сайтов.

Хронология утечки

+0–903 мс · страница и первые трекеры

Сайт на WordPress. Уже на +778 мс — собственная аналитика платформы (stats.wp.com), на +904 мс — Google Analytics Classic (ga.js), давно отключённый Google скрипт.

+9610–13381 мс · полный аукцион со строкой «отказа»

Список вендоров согласия подгружается одним из последних (+9610 мс). С +10250 мс идёт обмен идентификаторами между десятком бирж (Rubicon, OpenX, TripleLift, 33Across, GumGum, Media.net, Casale Media, OmnitagJS, SmartAdServer) — и все запросы несут одну и ту же строку согласия, в которой не разрешена ни одна цель.

Декларация против факта

+ Google Analytics — не заявлен

+ Google DoubleClick GPT — не заявлен

+ Amazon APS — не заявлен

+ Rubicon/Magnite — не заявлен

+ OpenX — не заявлен

+ TripleLift — не заявлен

+ 33Across — не заявлен

+ GumGum — не заявлен

+ Media.net — не заявлен

+ Casale Media — не заявлен

+ OmnitagJS — не заявлен

+ SmartAdServer — не заявлен

+ Аналитика Automattic/Jetpack — не заявлен

Зафиксированные трекеры

Полный рекламный аукцион в реальном времени: Google DoubleClick GPT, Amazon APS, Rubicon/Magnite, OpenX, TripleLift, 33Across, GumGum, Media.net, Casale Media, OmnitagJS, SmartAdServer (через обёртку Prebid)
Google Analytics Classic (ga.js, давно отключён Google)
Аналитика Automattic/Jetpack (stats.wp.com, pixel.wp.com)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — реклама работает вопреки сигналу «согласия нет»

Все запросы к рекламным биржам несут машинную строку согласия в стандартном отраслевом формате. При её расшифровке видно: согласие не дано ни на одну цель обработки — все разрешения обнулены. Тем не менее свыше десяти бирж выполняют синхронизацию идентификаторов и запросы ставок, неся именно эту строку «ничего не разрешено». Первая такая синхронизация (SmartAdServer) уходит уже на +1310 мс — ещё до того, как на странице появляется уведомление о cookie (+2261 мс), а основной обмен с биржами идёт с +10250 мс. Явного нажатия «принять» в замере нет: строка отказа — это состояние по умолчанию, и реклама работает поверх него.
Art. 13(1)(e) GDPR — получатели данных не названы

Политика Automattic описывает рекламу обобщённо — «рекламные партнёры», — не называя ни одного из более чем пятнадцати реальных получателей данных (Google, Amazon, Rubicon, OpenX, TripleLift, 33Across, GumGum, Media.net, Casale Media и других). Конкретный список вынесен на отдельную страницу, не входящую в сам документ.

Контекст

inteltoday.org — независимый блог о европейских спецслужбах, размещённый на платформе WordPress.com и зарабатывающий через её рекламную программу WordAds. Аудит сделан по разделу «Европейские агентства: Италия». Важная оговорка о юрисдикции: у самого блога нет отдельной итальянской привязки — и площадка, и политика конфиденциальности принадлежат американской компании Automattic и едины для всей платформы. В замере 94 обращения к 37 доменам — это крупнейший рекламный стек во всей серии. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Был ли баннер согласия

Баннер есть, но появляется он позже самой рекламы. Уведомление о cookie приходит на +2261 мс, а полный список рекламных вендоров подгружается лишь на +9610 мс — почти на десятой секунде. К этому времени рекламная инфраструктура давно работает: аналитика, обёртка аукциона, Google и Amazon запущены ещё в первые две секунды, а первая синхронизация идентификатора с биржей ушла и вовсе на +1310 мс — раньше, чем уведомление вообще показалось. Явного нажатия «принять» в замере нет.

Согласие говорит «нет» — а реклама всё равно работает

Это сердцевина разбора, и здесь нужна точность. Каждый запрос к рекламным биржам несёт с собой особую машинную строку — стандартный отраслевой формат записи того, на что пользователь согласился. Я эту строку расшифровал. И в ней не разрешена ни одна цель обработки данных: согласия нет ни на что.

То есть биржи получают однозначный сигнал «пользователь ничего не разрешил» — и всё равно делают своё дело: больше десяти рекламных площадок синхронизируют между собой идентификаторы посетителя, чтобы узнавать его на разных сайтах и подбирать рекламу. Сигнал отказа и фактическое поведение прямо противоречат друг другу. Это уже не просто «трекеры сработали раньше согласия» — это работа поверх явно зафиксированного отсутствия согласия.

Кто получает данные

Чтобы было предметно, вот кто участвует в этом обмене: рекламная система Google, Amazon, и целый ряд рекламных бирж — Rubicon, OpenX, TripleLift, 33Across, GumGum, Media.net, Casale Media, OmnitagJS, SmartAdServer. Полтора десятка получателей, и каждый забирает свою долю данных о визите. В политике же не назван ни один из них — только обобщённые «рекламные партнёры». Посетитель из документа никак не узнает, что его данные расходятся по такому количеству компаний.

Google Analytics — здесь дважды мёртвый

Отдельная деталь. Установленный счётчик — это даже не прошлая, а позапрошлая версия Google Analytics, ещё более старая, чем та, что Google отключил в 2023 году. Запрос к ней по-прежнему уходит, и IP посетителя вместе с ним, но обрабатывать эти данные давно нечему — счётчик мёртв. Очередное свидетельство, что стек собран по инерции и никем не сопровождается.

Это схема платформы, а не выбор блога

Важно для справедливости. Весь этот рекламный аукцион — не то, что настроил автор блога про спецслужбы. Это стандартная монетизация WordPress.com: подключаешь WordAds — и платформа сама вешает на сайт весь набор бирж. Поэтому ровно та же картина повторяется на миллионах бесплатных блогов с этой программой, независимо от их содержания. С одной стороны, это снимает вопрос личного умысла автора. С другой — делает находку куда масштабнее: это поведение не одного сайта, а целой платформы.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Установку cookie на стороне бирж в этой облегчённой выгрузке напрямую не видно — о синхронизации идентификаторов я сужу по характерным запросам обмена, а не по сохранённым заголовкам. Отсутствие нажатия «принять» означает, что строка отказа — это состояние по умолчанию, а не обязательно сознательный отказ живого человека; но именно это и видит обычный посетитель в первые секунды. Часть бирж формально может ссылаться на «законный интерес» для отдельных операций, однако синхронизация рекламных идентификаторов — это как раз то, что по правилам требует согласия. И напомню: площадка и политика — общие, американские, аудирован раздел про Италию.

Вывод

Это самый тяжёлый случай серии по объёму рекламной слежки. Полный аукцион в реальном времени — Google, Amazon и десяток бирж — синхронизирует идентификаторы посетителя, хотя машинная запись согласия прямо говорит, что не разрешено ничего. Ни один из полутора десятков получателей в политике не назван, а сверху ещё и мёртвый счётчик Google впустую утекает IP. И поскольку всё это — стандартная монетизация платформы, а не выбор конкретного блога, та же схема работает на миллионах подобных сайтов. Главное, что должен вынести читатель: здесь интересы читателя — в данном случае интерес к теме спецслужб — уходят на рекламный рынок несмотря на сигнал, что согласия он не давал.

Доказательство

Оригинал (разбор)

HAR-файл: it/inteltoday-org-2026-06-15.har

SHA-256: 36a2bb8ac653e3f8d8a70508ee5609b8ec6f40d4554eb8b4a6fe605c6ed6ad75

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом inteltoday.org.

2. Обстоятельства
Я посетил сайт inteltoday.org и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Все запросы к рекламным биржам несут машинную строку согласия в стандартном отраслевом формате. При её расшифровке видно: согласие не дано ни на одну цель обработки — все разрешения обнулены. Тем не менее свыше десяти бирж выполняют синхронизацию идентификаторов и запросы ставок, неся именно эту строку «ничего не разрешено». Первая такая синхронизация (SmartAdServer) уходит уже на +1310 мс — ещё до того, как на странице появляется уведомление о cookie (+2261 мс), а основной обмен с биржами идёт с +10250 мс. Явного нажатия «принять» в замере нет: строка отказа — это состояние по умолчанию, и реклама работает поверх него.

2) Политика Automattic описывает рекламу обобщённо — «рекламные партнёры», — не называя ни одного из более чем пятнадцати реальных получателей данных (Google, Amazon, Rubicon, OpenX, TripleLift, 33Across, GumGum, Media.net, Casale Media и других). Конкретный список вынесен на отдельную страницу, не входящую в сам документ.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/inteltoday-org/

3. Нарушенные положения
Art. 6(1)(a) GDPR — реклама работает вопреки сигналу «согласия нет»; Art. 13(1)(e) GDPR — получатели данных не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]