Имя, почта и срок действия карты. Оказывается, рекламные пиксели знают о вас даже больше, чем ваша жена

Свежий анализ работы рекламных пикселей TikTok и Meta* показал, что популярные инструменты отслеживания собирают значительно больше данных, чем требуется для оценки эффективности рекламы. В ряде случаев речь идёт не только о поведении пользователей на сайте, но и о персональной информации и деталях покупок, что создаёт риски для конфиденциальности и бизнеса.

Специалисты компании Jscrambler изучили поведение рекламных пикселей на сайтах крупных компаний из сфер ритейла, гостиничного бизнеса и здравоохранения. Результаты показали, что стандартная конфигурация таких инструментов позволяет фиксировать не только просмотры страниц и клики, но и электронные адреса, номера телефонов и физические адреса пользователей. Эти данные преобразуются в хеши, которые легко сопоставить с реальными людьми, что фактически снимает анонимность.

Механизм TikTok формирует несколько записей для каждого действия пользователя, включая событие, метаданные и параметры производительности. Meta применяет схожий подход, обрабатывая имя, местоположение и другие идентификаторы. Поскольку хеширование остаётся предсказуемым, сопоставление с уже известными наборами данных не вызывает затруднений и позволяет строить долгосрочные профили поведения.

Помимо идентификации пользователей, пиксели собирают подробную коммерческую информацию. В запросах регулярно передаются названия товаров, цены, количество, валюта и итоговая стоимость корзины. Фиксируются действия на этапе оформления заказа, включая добавление товара и ввод платёжных данных. Meta дополнительно анализирует структуру страниц и форм, что даёт представление о внутреннем устройстве сайтов.

Во многих случаях владельцы сайтов не подозревают о таком уровне сбора данных. Интеграции с платформами электронной коммерции автоматически передают информацию без явного контроля. В результате сторонние сервисы получают доступ к данным о каталоге товаров, ценах и поведении клиентов, что потенциально усиливает позиции крупных игроков рекламного рынка — в первую очередь самой Meta.

Отдельную тревогу вызывают вопросы соблюдения законодательства. Специалисты зафиксировали, что пиксели TikTok могут передавать данные ещё до выбора пользователя в окне согласия и даже после отказа от отслеживания. Meta по умолчанию включает функцию автоматического сбора событий, которая способна фиксировать элементы платёжных форм, включая последние цифры карты, срок действия и имя владельца.

Передача информации иногда происходит в открытом виде, включая URL-запросы, что увеличивает риск утечек через журналы серверов, историю браузера и промежуточные системы. Такие практики могут противоречить требованиям GDPR, CCPA и другим нормам, особенно при передаче адресов и платёжных данных.

Авторы отчёта отмечают, что пиксели давно перестали быть простыми инструментами аналитики и превратились в полноценные системы сбора коммерческой информации. Чем больше данных получают рекламные платформы, тем точнее становятся алгоритмы таргетинга, что усиливает преимущество компаний с крупными рекламными бюджетами.

Для снижения рисков компаниям рекомендуют проверять фактическую работу пикселей, ограничивать доступ к чувствительным данным и настраивать поведение скриптов с учётом согласия пользователей и региональных требований. Регулярный мониторинг должен помочь выявить ситуации, когда объём собираемой персональных данных выходит за изначальные рамки.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.