TL;DR После установки Яндекс.Браузера с опцией отправки статистики, слишком много данных, на мой взгляд, отправляется куда-то в недра api.browser.yandex.ru. С помощью коллеги по цеху ИБ – Олега Анциферова – удалось раскопать следующее: улетает список пользователей, список установленного ПО, файл hosts и т.д. Под катом подробности.
С чего всё началось
Как-то раз в учебных целях настраивали мы в DLP-системе правило, которые бы уведомляло о фактах передачи логиновпаролей пользователей туда, куда не следует. А так как творчество коллективное, то в процессе обсуждения возникли разные предложения по реализации, как-то:
-
искать в сообщениях с помощью фразового поиска совпадение по одному из слов, а-ля: login, password, логин, пароль и т.п;
-
искать с помощью поиска по регулярным выражениям «слова», похожие на пароль;
-
выявлять факты передачи «кредов» от каких-нибудь критичных учёток.
Последний пункт и стал отправной точкой для этого поста. Запрос был настроен на поиск имени пользовательской учётки во всех каналах (а не только в мессенджерах, как обычно делают). И вот тут появился неожиданный результат. Из-под учётки пользователя на api.browser.yandex.ru ушёл список всех учёток, имеющих доступ к данной машине.
![Зачем Яндекс.Браузеру эти данные? - 1 Зачем Яндекс.Браузеру эти данные? - 1](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye.png)
Естественно, сам пользователь ничего не отправлял. Захотелось выяснить, насколько глубока кроличья нора.
И насколько?
Исходные условия: новая чистая машина без установленного Яндекс.Браузера. На машину ставится агент DLP-системы. Затем ставим Я.Б. с параметрами по-умолчанию.
После установки процесс bct.exe, находящийся по адресу c:usersUSERNAMEappdatalocaltempyandexrescuetoolbct.exe передаёт список пользователей.
![Зачем Яндекс.Браузеру эти данные? - 2 Зачем Яндекс.Браузеру эти данные? - 2](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-2.png)
Передаёт список DNS
![Зачем Яндекс.Браузеру эти данные? - 3 Зачем Яндекс.Браузеру эти данные? - 3](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-3.png)
И подменяет на свой (?)
![Зачем Яндекс.Браузеру эти данные? - 4 Зачем Яндекс.Браузеру эти данные? - 4](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-4.png)
Также передаётся информация о том, что машина принимает RDP-сессии (и их список, если они установлены в данный момент).
![Зачем Яндекс.Браузеру эти данные? - 5 Зачем Яндекс.Браузеру эти данные? - 5](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-5.png)
А чтобы пользователь меньше волновался, надо его меньше тревожить всякими уведомлениями.
![Зачем Яндекс.Браузеру эти данные? - 6 Зачем Яндекс.Браузеру эти данные? - 6](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-6.png)
Тем временем процесс browser.exe в своём пакете отправляет на api.browser.yandex.ru список установленного ПО.
![Зачем Яндекс.Браузеру эти данные? - 7 Зачем Яндекс.Браузеру эти данные? - 7](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-7.png)
Содержимое файла hosts в base64.
![Зачем Яндекс.Браузеру эти данные? - 8 Зачем Яндекс.Браузеру эти данные? - 8](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-8.png)
![Зачем Яндекс.Браузеру эти данные? - 9 Зачем Яндекс.Браузеру эти данные? - 9](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-9.png)
Может, что-то и ещё интересное передаётся.
Имеет ли право компания собирать такие данные?
Да, если вы согласились с пунктом 5.1.
![Зачем Яндекс.Браузеру эти данные? - 10 Зачем Яндекс.Браузеру эти данные? - 10](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-10.png)
Любопытно, что отказаться от передачи надо до того, как начнёшь качать браузер.
![Зачем Яндекс.Браузеру эти данные? - 11 Зачем Яндекс.Браузеру эти данные? - 11](https://www.pvsm.ru/images/2025/01/31/zachem-yandeks-brauzeru-eti-dannye-11.png)
После установки, конечно, тоже можно отказаться, но, возможно, будет уже поздно и данные уйдут.
Что делать?
Очевидное решение – отключить функцию автоматической отправки статистики. В этом случае не заметил ни процесса bct.exe, ни упомянутых данных в пакетах от browser.exe.
Можно также сделать отдельное правило контентной блокировки в DLP-системе для конкретного (-ых) процесса (-ов) и запретить отправлять на определённый хост пакеты, если в них есть определённая информация. Это на тот случай, если вдруг где-то как-то проскочит браузер с включённой функцией автоматической отправки статистики (или если выключенная опция вдруг совершенно случайно включится сама после какого-нибудь обновления).
Вместо выводов
Чем больше данных – тем лучше. Видимо такой логикой руководствуются многие разработчики. Но ведь есть и принцип разумной достаточности, и рекомендации не собирать избыточные данные. А вообще, возможно, всё не страшно, и просто голову поддавливает шапочка из фольги. Тем не менее, непонятно, зачем Яндексу нужны эти данные.
Автор: labyrinth