Исследование безопасности российских frontend-приложений, проведённое Михаилом Парфёновым (DPA Analytics), выявило, что CMS 1С-Битрикс по умолчанию внедряет аналитический скрипт, отправляющий пользовательские данные на серверы в Ирландии (bitrix.info). Скрипт фиксирует поведение пользователей, что, по мнению эксперта, следует считать обработкой персональных данных (ПД). В 21% проверенных приложений (650+ крупных компаний) этот скрипт был обнаружен; 71% приложений отправляют запросы на зарубежные хосты, 64% — загружают скрипты извне.

При этом отключение скрипта в интерфейсе администрирования CMS невозможно, а в официальной документации данный механизм не раскрывается. Передача ПД за пределы РФ без согласия пользователя и уведомления Роскомнадзора запрещена и может привести к штрафам — штрафы ужесточены с 30 мая 2025 года. Сервис bitrix.info недавно был перенесён на территорию РФ и временно не собирает данные, однако сам скрипт продолжает автоматически добавляться. Битрикс пообещал удалить функцию в ближайших обновлениях, но компаниям рекомендовано отключать скрипт вручную через конфиг, чтобы исключить риски утечки данных и нарушения закона.

Классические средства защиты (WAF/NGFW, SAST, DAST) не способны выявить подобные риски, поэтому безопасность frontend-приложений требует специализированного аудита поведения скриптов. Пример с Битрикс демонстрирует важность регулярного анализа стороннего кода и прозрачности вендоров ПО.