В ходе исследования безопасности российских фронтенд-приложений, проведённого DPA Analytics, в системе управления сайтами (CMS) 1С-Битрикс был обнаружен скрипт, передающий данные на сервер, расположенный в Ирландии. В результате пользователи данной CMS могут попасть под санкции Роскомнадзора за незаконную трансграничную передачу персональных данных.
Как выяснилось, 1С-Битрикс скрытно внедряла на управляемые сайты аналитический скрипт, который с 2014 года собирал информацию о поведении пользователей и отправлял её на сервер компании в Ирландии. Всё это происходило на протяжении 11 лет без явного уведомления.
Автор исследования, главный архитектор по информационной безопасности DPA Analytics Михаил Парфенов, предупредил, что владельцы таких сайтов рискуют нарушить законодательство о защите персональных данных. В марте 2025 года Роскомнадзор уже рекомендовал отказаться от использования Google Analytics именно из-за нарушения правил трансграничной передачи данных, действующих с 2023 года.
По данным исследования, охватившего 650 российских компаний, скрипт «Битрикс Аналитики» был обнаружен в 21% веб-приложений. При этом в официальной документации CMS о нём не упоминается, а тестирование показало, что скрипт устанавливается автоматически при инсталляции всех редакций 1С-Битрикс: Управление сайтом.
Михаил Парфенов также отметил, что проблема не ограничивается только 1С-Битрикс: 64% мобильных и веб-приложений загружают скрипты с зарубежных хостов, а 71% отправляют сетевые запросы за пределы России — что представляет серьёзный риск в текущих условиях.
Чтобы отключить сбор данных, необходимо в файл /home/bitrix/www/bitrix/.settings.php добавить в массив параметров следующий объект:
'analytics_counter' => array(
'value' => array(
'enabled' => false,
),
),
Вендор признал наличие проблемы. С 7 июня сбор данных прекращён, а сама функция будет полностью удалена в ближайшем обновлении.
