Технический аудит · 2026-06-06

yaga.ee

Эстонская платформа купли-продажи подержанных вещей

Эстонская C2C-платформа подержанных вещей. GTM и Facebook Pixel загружаются за 736 мс до Cookiebot. Facebook отправляет 10 запросов за 47-секундную сессию. Sentry использует EU-инстанс — осознанный выбор.

Хронология утечки

+346 мс · до баннера

Google Maps API — ключ AIzaSyDQQj4fXgkexlApFDckAeTMz65ShjAbFPQ. Данные в Google, США.

+348 мс · до баннера

Google User Content (lh3.googleusercontent.com) — фото профилей пользователей через Google. США.

+419 мс · до баннера

Google Fonts (fonts.gstatic.com) — Roboto. IP в Google, США.

+1180 мс · до баннера

Sentry EU (ingest.de.sentry.io) — мониторинг ошибок. Германия, данные в ЕС.

+1537 мс · до баннера

GTM (GTM-P7QZL64G) — за 736 мс до Cookiebot.

+1558 мс · до баннера

Facebook Pixel (fbevents.js, ID: 1378234733239717) — за 715 мс до Cookiebot.

+2328 мс

Google Ads collect (page_view) — данные в Google, США.

+2614 мс

GA4 collect — G-XHXVNW7707. Данные в Google, США.

+17321 мс

mpc2-prod-23.a.run.app — Google Cloud Run. Собственный бэкенд Yaga на Google-инфраструктуре.

+17328 мс

Facebook PageView — URL страницы уходит в Meta.

Декларация против факта

✓ Google — упомянут как провайдер авторизации — заявлен

✓ Facebook — упомянут как провайдер авторизации — заявлен

+ Google Maps API — не заявлен

+ Google Ads (AW-833230941) — не заявлен

+ Google User Content (lh3.googleusercontent.com) — не заявлен

+ mpc2-prod-23.a.run.app (Google Cloud Run) — не заявлен

Тайминги передачи

+346 мс maps.googleapis.com до баннера Google Maps API с открытым ключом

+1537 мс www.googletagmanager.com до баннера GTM-P7QZL64G — за 736 мс до Cookiebot

+1558 мс connect.facebook.net до баннера Facebook Pixel — за 715 мс до Cookiebot

+2273 мс consent.cookiebot.com баннер Cookiebot через GTM

+17328 мс www.facebook.com после баннера Facebook PageView — 10 запросов за сессию

Зафиксированные трекеры

Google Tag Manager (GTM-P7QZL64G)
Google Analytics GA4 (G-XHXVNW7707)
Google Ads (AW-833230941)
Google Maps API
Google User Content (lh3.googleusercontent.com)
Facebook Pixel (ID: 1378234733239717)
Facebook SDK
Google Fonts (fonts.gstatic.com)
Sentry EU (ingest.de.sentry.io)
GrowthBook (api-growthbook.yaga.ee)
Google Cloud Run (mpc2-prod-23.a.run.app)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GTM (+1537 мс) и Facebook Pixel (+1558 мс) загружаются за 736 мс до Cookiebot (+2273 мс). Google Maps API (+346 мс) и Google User Content (+348 мс) запускаются немедленно. GA collect уходит на +2614 мс, Facebook PageView — на +17328 мс.
GDPR Art. 7

Cookiebot появляется через 2273 мс. К этому моменту GTM, Facebook Pixel, Google Maps, Google Fonts, Sentry и Google User Content уже активированы. Facebook отправляет 10 запросов за сессию длительностью 47 секунд.
GDPR Art. 13(1)(e)

Политика конфиденциальности упоминает Google и Facebook как провайдеров авторизации. Google Maps API, Google Ads, mpc2-prod (Google Cloud Run) не упомянуты как получатели данных.
GDPR Art. 13(1)(f), Chapter V

Google Maps API, GA4, Google Ads, Facebook — серверы в США. mpc2-prod.a.run.app — Google Cloud Run, США. Механизм передачи не указан.

Контекст

Yaga OÜ (регистрационный код 14203706, Tallinn) — эстонская C2C-платформа купли-продажи подержанных вещей, аналог Vinted. Политика обновлена 01.09.2025, подробно описывает обработку данных пользователей включая данные транзакций. HAR: 175 запросов, 15 доменов. Сессия длительностью 47 секунд с просмотром товаров.

GTM и Facebook до Cookiebot — 736 мс

GTM загружается на +1537 мс, Facebook Pixel — на +1558 мс. Cookiebot появляется на +2273 мс. Разрыв — 736 мс. При этом Cookiebot загружается через GTM (implementation=gtm) — это означает что GTM должен был быть заблокирован до Cookiebot, а не наоборот. Конфигурация нарушает логику: инструмент согласия зависит от инструмента который должен быть под его контролем.

Facebook — 10 запросов за 47 секунд

Facebook отправляет 10 запросов за сессию: загрузка скриптов, конфигурация пикселя, PageView события, SDK. Последний запрос — на +41758 мс. Facebook фиксирует каждый значимый момент сессии включая просмотр конкретных товаров (view_item_list, view_item).

Google User Content — фото профилей через Google

Фотографии профилей пользователей загружаются с lh3.googleusercontent.com — это означает что Yaga использует Google OAuth для авторизации и хранит ссылки на Google-фото. При каждом открытии главной страницы IP пользователя передаётся в Google через запросы к аватарам других пользователей.

mpc2-prod — Google Cloud Run

mpc2-prod-23-is5qnl632q-ue.a.run.app — это Google Cloud Run, PaaS-платформа Google. Yaga размещает часть своего бэкенда на Google Cloud (регион ue — US East). Это не трекер, но факт передачи данных в инфраструктуру Google Cloud USA должен быть задекларирован.

Sentry EU — правильный выбор

ingest.de.sentry.io — EU-инстанс Sentry, Германия. Четвёртый сайт в серии после IIZI, Zalando и SmartPost где мониторинг ошибок намеренно оставлен в ЕС.

Вывод

Yaga — эстонская C2C-платформа с подробной политикой конфиденциальности. Но GTM загружается за 736 мс до Cookiebot, Facebook отправляет 10 запросов за сессию, Google Maps API с открытым ключом передаёт данные немедленно. Cookiebot через GTM — это архитектурная ошибка: инструмент согласия не может загружаться через инструмент который он должен контролировать.

Доказательство

Оригинал (разбор)

HAR-файл: ee/yaga-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом yaga.ee.

2. Обстоятельства
Я посетил сайт yaga.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (+1537 мс) и Facebook Pixel (+1558 мс) загружаются за 736 мс до Cookiebot (+2273 мс). Google Maps API (+346 мс) и Google User Content (+348 мс) запускаются немедленно. GA collect уходит на +2614 мс, Facebook PageView — на +17328 мс.

2) Cookiebot появляется через 2273 мс. К этому моменту GTM, Facebook Pixel, Google Maps, Google Fonts, Sentry и Google User Content уже активированы. Facebook отправляет 10 запросов за сессию длительностью 47 секунд.

3) Политика конфиденциальности упоминает Google и Facebook как провайдеров авторизации. Google Maps API, Google Ads, mpc2-prod (Google Cloud Run) не упомянуты как получатели данных.

4) Google Maps API, GA4, Google Ads, Facebook — серверы в США. mpc2-prod.a.run.app — Google Cloud Run, США. Механизм передачи не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/yaga-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]