Технический аудит · 2026-05-31

myhome.ie

MyHome.ie (Irish Times DAC) — крупнейший портал недвижимости Ирландии

Крупнейший портал недвижимости Ирландии (Irish Times DAC). 224 запроса, 21 домен. Полный programmatic рекламный стек — Prebid.js, Amazon APS, Google Ad Manager, ID5, Adagio — запускается до баннера OneTrust. Publift явно маркирует свою телеметрию как 'noconsent'. Пользователи, ищущие жильё, идентифицируются рекламными сетями до любого выбора.

Хронология утечки

+710 мс · до баннера

cdn.fuseplatform.net/publift/tags — Publift Fuse загружается. OneTrust SDK стартует одновременно, но баннер ещё не виден.

+783 мс · до баннера

floor.pbxai.com и cdn.pbxai.com — PubX AI price floor optimization. Система ценообразования рекламного аукциона.

+786 мс · до баннера

c.amazon-adsystem.com (Amazon APS), securepubads.g.doubleclick.net (Google GPT), 7odcs2a8nxtfyxndn.ay.delivery (Adagio SSP) — три рекламных платформы одновременно.

+788 мс · до баннера

cdn.fuseplatform.net/telemetry/noconsent — Publift телеметрия: cookie=true, res=1536x864, fuuid UUID. Эндпоинт явно маркирован как 'noconsent'.

+834 мс · до баннера

cdn.jsdelivr.net — Prebid.js currency файл (currency-file@1/latest.json). Prebid.js header bidding инициализируется.

+853 мс · до баннера

config.aps.amazon-adsystem.com — Amazon APS конфигурация.

+904 мс · до согласия

cdn.id5-sync.com — ID5 cross-site identity API. Синхронизация идентификатора с рекламными партнёрами.

+1028 мс · до согласия

js.monitor.azure.com — Azure Application Insights конфигурация.

Декларация против факта

✓ Google (реклама) — упомянут в политике — заявлен

✓ Google Analytics, Google Signals — упомянуты в политике — заявлен

✓ Comscore — упомянут в политике — заявлен

+ Publift / Fuse (cdn.fuseplatform.net) — не упомянут — не заявлен

+ PubX AI (floor.pbxai.com, cdn.pbxai.com) — не упомянут — не заявлен

+ Amazon Publisher Services (c.amazon-adsystem.com) — не упомянут — не заявлен

+ ID5 (cdn.id5-sync.com, api.id5-sync.com) — не упомянут — не заявлен

+ Adagio SSP (7odcs2a8nxtfyxndn.ay.delivery) — не упомянут — не заявлен

+ Azure Application Insights (js.monitor.azure.com) — не упомянут — не заявлен

+ SQ1 (myhome.sq1.io) — не упомянут — не заявлен

+ Prebid.js — не упомянут — не заявлен

Тайминги передачи

+710 мс cdn.fuseplatform.net до баннера Publift Fuse + Prebid.js v9.53.5. Австралия/США.

+783 мс floor.pbxai.com до баннера PubX AI price floor. ID e81e688b.

+786 мс securepubads.g.doubleclick.net до баннера Google Ad Manager GPT. США.

+786 мс c.amazon-adsystem.com до баннера Amazon Publisher Services apstag. США.

+786 мс 7odcs2a8nxtfyxndn.ay.delivery до баннера Adagio SSP s2s-client. США/ЕС.

+788 мс cdn.fuseplatform.net до баннера telemetry/noconsent. fuuid UUID. Явная пометка.

+885 мс cdn.cookielaw.org баннер OneTrust otBannerSdk.js — баннер виден.

+904 мс cdn.id5-sync.com до согласия ID5 cross-site identity. США.

+1028 мс js.monitor.azure.com до согласия Azure Application Insights. Microsoft.

Зафиксированные трекеры

Publift / Fuse (cdn.fuseplatform.net) — programmatic ad management
Prebid.js v9.53.5 (cdn.fuseplatform.net) — header bidding
PubX AI (floor.pbxai.com, cdn.pbxai.com) — price floor optimization
Google Ad Manager / DoubleClick (securepubads.g.doubleclick.net, pagead2.googlesyndication.com)
Amazon Publisher Services (c.amazon-adsystem.com, config.aps.amazon-adsystem.com)
ID5 cross-site identity (cdn.id5-sync.com, api.id5-sync.com)
Adagio SSP (7odcs2a8nxtfyxndn.ay.delivery)
Microsoft Azure Application Insights (js.monitor.azure.com, dc.services.visualstudio.com)
SQ1 (myhome.sq1.io) — content recommendation
OneTrust CMP (cdn.cookielaw.org, privacyportalde-cdn.onetrust.com, geolocation.onetrust.com)
jsDelivr CDN (cdn.jsdelivr.net)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

Вся programmatic рекламная инфраструктура запускается до отображения баннера OneTrust (+885 мс otBannerSdk.js): Publift Fuse (+710 мс), PubX AI (+783 мс), Amazon APS (+786 мс), Google Ad Manager GPT (+786 мс), Adagio SSP (+786 мс), ID5 (+904 мс). OneTrust SDK загружается одновременно с Publift (+710 мс), но баннер рендерится на +885 мс — к этому моменту рекламный стек уже инициализирован полностью.
GDPR Art. 6(1) — Publift telemetry/noconsent

На +788 мс Publift отправляет запрос к cdn.fuseplatform.net/telemetry/noconsent с параметрами: cookie=true, res=1536x864, device=desktop, browser=edge, fuuid=6363addf-c... Эндпоинт называется 'noconsent' — телеметрия явно маркирована как собираемая до согласия. UUID fuuid присваивается до баннера.
GDPR Art. 6(1) — ID5 cross-site идентификация до согласия

ID5 (cdn.id5-sync.com, api.id5-sync.com) — система кросс-сайтовой идентификации пользователей для рекламного targeting, альтернатива сторонним cookies. Загружается на +904 мс и синхронизирует идентификатор с рекламными партнёрами до согласия пользователя.
GDPR Art. 13(1)(e)

Политика упоминает Google, Google Analytics, Google Signals и Comscore. PubX AI, Publift, Amazon APS, ID5, Adagio (ay.delivery), Azure Application Insights, SQ1 в политике не упомянуты. Prebid.js как инфраструктурный элемент не раскрыт.

Контекст

MyHome.ie — крупнейший портал недвижимости Ирландии, принадлежащий Irish Times DAC. Сайт используется для поиска и аренды/покупки жилья. HAR: 224 запроса, 21 домен. 157 запросов к www.myhome.ie, 21 к CDN myhomesan.azureedge.net, 12 к photos-a.propertyimages.ie — остальные 34 к восемнадцати внешним доменам.

Programmatic рекламный стек до согласия

myhome.ie использует полноценную programmatic рекламную инфраструктуру: Publift (менеджер рекламного заполнения), Prebid.js v9.53.5 (header bidding аукционы), Google Ad Manager через DoubleClick GPT, Amazon Publisher Services (APS), Adagio SSP, PubX AI (оптимизация price floor). Все компоненты загружаются в промежутке +710–853 мс. Баннер OneTrust появляется на +885 мс.

175 миллисекунд — промежуток, в течение которого рекламный аукцион уже инициализирован, конфигурации загружены, bid requests подготавливаются. К моменту, когда пользователь видит баннер с вопросом о согласии, рекламная система уже получила данные о его браузере, устройстве, разрешении экрана и истории посещений из cookies.

Publift telemetry/noconsent — задокументированное нарушение

На +788 мс Publift отправляет запрос к cdn.fuseplatform.net/telemetry/noconsent. Название эндпоинта — noconsent — прямо указывает на назначение: телеметрия, собираемая до получения согласия. Параметры запроса: cookie=true (cookies доступны), res=1536x864 (разрешение экрана), device=desktop, browser=edge, fuuid=6363addf-c... (идентификатор UUID). Publift явно разделяет свою аналитику на две категории — до и после согласия — и фиксирует данные в обеих.

ID5 — кросс-сайтовая идентификация без согласия

ID5 — система замены сторонних cookies для рекламного targeting. Загружает идентификатор с cdn.id5-sync.com и синхронизирует его с рекламными партнёрами через api.id5-sync.com/analytics. Этот идентификатор позволяет отслеживать пользователя между разными сайтами. Инициализируется на +904 мс — до согласия. В политике не упомянут.

Azure Application Insights

Microsoft Azure Application Insights — система мониторинга производительности и диагностики. Загружается на +1028 мс, отправляет телеметрию на dc.services.visualstudio.com на +16143 мс. Собирает технические данные о сессии: время загрузки, ошибки, производительность. В политике не упомянут.

Политика: Google есть, рекламного стека нет

Политика конфиденциальности (март 2025) упоминает Google, Google Analytics, Google Signals и Comscore. Семь других участников рекламного стека — Publift, PubX AI, Amazon APS, ID5, Adagio, Prebid.js, Azure — не названы. Политика содержит общее описание programmatic рекламы без идентификации конкретных получателей данных. По Art. 13(1)(e) общее упоминание категории «рекламные сети» без перечисления конкретных участников не является надлежащим раскрытием.

Ни один из 224 запросов не устанавливает cookie через Set-Cookie в HAR. Рекламный стек использует localStorage и URL-параметры вместо cookies — стандартная практика для обхода ограничений на сторонние cookies.

Вывод

myhome.ie представляет типичную архитектуру крупного медиапортала с programmatic рекламой: OneTrust формально присутствует, но загружается одновременно с рекламным стеком, а не до него. Publift явно документирует это через эндпоинт telemetry/noconsent. Пользователи, ищущие жильё — нередко в чувствительных жизненных обстоятельствах — идентифицируются семью рекламными платформами до того, как им предложат сделать какой-либо выбор в отношении своих данных.

Доказательство

Оригинал (разбор)

HAR-файл: ie/myhome-ie-2026-05-31.har

SHA-256: 56ec1a7b6d1e1f973b9d32b767080e310f7c5cdf337a435b162a430e9bfdb1de

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом myhome.ie.

2. Обстоятельства
Я посетил сайт myhome.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Вся programmatic рекламная инфраструктура запускается до отображения баннера OneTrust (+885 мс otBannerSdk.js): Publift Fuse (+710 мс), PubX AI (+783 мс), Amazon APS (+786 мс), Google Ad Manager GPT (+786 мс), Adagio SSP (+786 мс), ID5 (+904 мс). OneTrust SDK загружается одновременно с Publift (+710 мс), но баннер рендерится на +885 мс — к этому моменту рекламный стек уже инициализирован полностью.

2) На +788 мс Publift отправляет запрос к cdn.fuseplatform.net/telemetry/noconsent с параметрами: cookie=true, res=1536x864, device=desktop, browser=edge, fuuid=6363addf-c... Эндпоинт называется 'noconsent' — телеметрия явно маркирована как собираемая до согласия. UUID fuuid присваивается до баннера.

3) ID5 (cdn.id5-sync.com, api.id5-sync.com) — система кросс-сайтовой идентификации пользователей для рекламного targeting, альтернатива сторонним cookies. Загружается на +904 мс и синхронизирует идентификатор с рекламными партнёрами до согласия пользователя.

4) Политика упоминает Google, Google Analytics, Google Signals и Comscore. PubX AI, Publift, Amazon APS, ID5, Adagio (ay.delivery), Azure Application Insights, SQ1 в политике не упомянуты. Prebid.js как инфраструктурный элемент не раскрыт.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/myhome-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — Publift telemetry/noconsent; GDPR Art. 6(1) — ID5 cross-site идентификация до согласия; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]