Узнайте, как усовершенствованное решение для управления доступом спасло крупного клиента розничной торговли от нежелательного шага из-за неправильной настройки его политики управления файлами cookie. В этом не было ничего вредоносного, но современные веб-среды настолько сложны, что могут происходить ошибки, а штрафы за несоблюдение требований могут быть просто оплошностью.
В детстве вас когда-нибудь ловили за тем, что вы запускали руку в банку с печеньем и получали выговор? Что ж, даже если вы все еще помните, как вас разоблачили как cookie-монстра, наказания для сегодняшних вороватых тварей хуже. На миллионы долларов хуже.
Файлы cookie являются неотъемлемой частью современной веб-аналитики. Файл cookie - это небольшой фрагмент текстовых данных, который фиксирует предпочтения посетителей веб-сайта вместе с их поведением, и его задача - помочь персонализировать их просмотр. Точно так же, как много лет назад вам требовалось согласие родителей для доступа к файлу cookie jar, теперь вашей компании необходимо получить согласие пользователя, прежде чем вводить файлы cookie в браузер пользователя, а затем сохранять или делиться информацией об их привычках к просмотру.
Будучи хранителем хранилища файлов cookie веб-сайта, ваш бизнес не может совершать набеги на него, как вы делали, когда вам было шесть лет. Вы должны получить разрешение в обеих ситуациях, но в наши дни наказанием могут быть крупные штрафы от регулирующих органов по защите данных и дорогостоящие судебные иски от пользователей.
В новом тематическом исследовании от Reflectiz, ведущей компании по обеспечению безопасности веб-сайтов, рассказывается о том, как ее передовое решение для управления доступом спасло крупного клиента розничной торговли от нежелательного шага из-за неправильной настройки политики управления файлами cookie. Это не было чем-то вредоносным, похожим на веб-скимминг или кейлоггинговую атаку, но современные веб-среды настолько сложны, а компаниям, подобным этой, приходится обслуживать сотни веб-сайтов, поэтому ошибки могут случаться, а штрафы за несоблюдение требований могут быть просто оплошностью.
Немного об отслеживании файлов cookie
Отслеживание файлов cookie существует с первых дней существования Интернета. В 1994 году Лу Монтулли, программист, нанятый предшественником Netscape, работал над приложением электронной коммерции для MCI, одного из ее клиентов, который запросил виртуальную корзину покупок. Он изобрел файлы cookie, поскольку мы проверяем, посещали ли пользователи сайт ранее, и запоминаем их предпочтения.
В новостях начали появляться истории о том, что файлы cookie могут вторгаться в частную жизнь, но, несмотря на озабоченность общественности, только в 2011 году Европейский союз принял законодательство, гарантирующее, что веб-сайты получают явное согласие пользователей перед использованием файлов cookie.
Несанкционированное отслеживание без согласия на использование файлов cookie
В этом новом тематическом исследовании глобальный розничный клиент стремился постоянно отслеживать различные перемещения пользователей по своим веб-сайтам, обнаружив, что 37 доменов внедряли файлы cookie без получения надлежащего согласия пользователей. Обычные инструменты безопасности розничной компании оставались слепыми к этой проблеме из-за ограничений, налагаемых их корпоративной VPN, ограничивающей видимость. Более того, мошеннические и неправильно настроенные файлы cookie были внедрены в компоненты iFrame, что создало проблемы для эффективного мониторинга стандартными средствами контроля безопасности, такими как WAF.
Проблема клиента: он ослеплен VPN
Хотя на платформе розничного продавца уже были внедрены другие решения для обеспечения безопасности, он был слеп к проблеме, которая заключалась в следующем: на 37 его веб-сайтах отслеживание файлов cookie осуществлялось без получения явного согласия посетителей. Это происходило с помощью фреймов iFrames (которые используются для встраивания контента с одного веб-сайта в другой), которые были скрыты VPN. Это маскировало их действия и делало проблему с согласием на использование файлов cookie невидимой для других решений безопасности.
Хотя это был пагубный недосмотр, по крайней мере, данные не отправлялись злоумышленникам. Вместо этого Reflectiz обнаружил, что они направлялись законному стороннему рекламному сервису.
Высокая цена несоблюдения требований
Для компании, клиенты которой находятся в Европейском Союзе, применяется GDPR, и нарушение ее правил предоставления согласия на использование файлов cookie классифицируется как правонарушение категории Tier 2. Согласно этому регламенту, компании, которые не могут получить действительное согласие на использование файлов cookie, могут быть оштрафованы на сумму до 4% от их глобального годового оборота или 20 миллионов евро (21,94 миллиона долларов), в зависимости от того, какая сумма больше. Вот почему так важна возможность отслеживать поведение каждого ресурса, подключенного к веб-сайту, и почему Reflectiz оказался таким спасителем в данном случае.
Решение
Reflectiz увидел то, чего не смогли другие решения. Он идентифицировал 37 доменов, где файлы cookie использовались без согласия, обнаружил, куда отправлялись данные (в данном случае законному рекламодателю), и уполномочил розничного продавца устранить проблему до того, как она может обостриться.
Платформа Reflectiz предоставляет компаниям розничной торговли, финансов, медицины и других секторов информацию, необходимую им для соблюдения стандартов защиты данных и предотвращения подобных инцидентов, которые могут привести к штрафам, судебным искам и ущербу репутации. Он выполняется удаленно, что практически не влияет на производительность, а интуитивно понятный интерфейс обеспечивает быструю адаптацию сотрудников.
Основные рекомендации
Для получения дополнительной информации и углубленного анализа вы можете загрузить полное тематическое исследование здесь.
В детстве вас когда-нибудь ловили за тем, что вы запускали руку в банку с печеньем и получали выговор? Что ж, даже если вы все еще помните, как вас разоблачили как cookie-монстра, наказания для сегодняшних вороватых тварей хуже. На миллионы долларов хуже.
Файлы cookie являются неотъемлемой частью современной веб-аналитики. Файл cookie - это небольшой фрагмент текстовых данных, который фиксирует предпочтения посетителей веб-сайта вместе с их поведением, и его задача - помочь персонализировать их просмотр. Точно так же, как много лет назад вам требовалось согласие родителей для доступа к файлу cookie jar, теперь вашей компании необходимо получить согласие пользователя, прежде чем вводить файлы cookie в браузер пользователя, а затем сохранять или делиться информацией об их привычках к просмотру.
Будучи хранителем хранилища файлов cookie веб-сайта, ваш бизнес не может совершать набеги на него, как вы делали, когда вам было шесть лет. Вы должны получить разрешение в обеих ситуациях, но в наши дни наказанием могут быть крупные штрафы от регулирующих органов по защите данных и дорогостоящие судебные иски от пользователей.
В новом тематическом исследовании от Reflectiz, ведущей компании по обеспечению безопасности веб-сайтов, рассказывается о том, как ее передовое решение для управления доступом спасло крупного клиента розничной торговли от нежелательного шага из-за неправильной настройки политики управления файлами cookie. Это не было чем-то вредоносным, похожим на веб-скимминг или кейлоггинговую атаку, но современные веб-среды настолько сложны, а компаниям, подобным этой, приходится обслуживать сотни веб-сайтов, поэтому ошибки могут случаться, а штрафы за несоблюдение требований могут быть просто оплошностью.
Немного об отслеживании файлов cookie
Отслеживание файлов cookie существует с первых дней существования Интернета. В 1994 году Лу Монтулли, программист, нанятый предшественником Netscape, работал над приложением электронной коммерции для MCI, одного из ее клиентов, который запросил виртуальную корзину покупок. Он изобрел файлы cookie, поскольку мы проверяем, посещали ли пользователи сайт ранее, и запоминаем их предпочтения.
В новостях начали появляться истории о том, что файлы cookie могут вторгаться в частную жизнь, но, несмотря на озабоченность общественности, только в 2011 году Европейский союз принял законодательство, гарантирующее, что веб-сайты получают явное согласие пользователей перед использованием файлов cookie.
Несанкционированное отслеживание без согласия на использование файлов cookie
В этом новом тематическом исследовании глобальный розничный клиент стремился постоянно отслеживать различные перемещения пользователей по своим веб-сайтам, обнаружив, что 37 доменов внедряли файлы cookie без получения надлежащего согласия пользователей. Обычные инструменты безопасности розничной компании оставались слепыми к этой проблеме из-за ограничений, налагаемых их корпоративной VPN, ограничивающей видимость. Более того, мошеннические и неправильно настроенные файлы cookie были внедрены в компоненты iFrame, что создало проблемы для эффективного мониторинга стандартными средствами контроля безопасности, такими как WAF.
Проблема клиента: он ослеплен VPN
Хотя на платформе розничного продавца уже были внедрены другие решения для обеспечения безопасности, он был слеп к проблеме, которая заключалась в следующем: на 37 его веб-сайтах отслеживание файлов cookie осуществлялось без получения явного согласия посетителей. Это происходило с помощью фреймов iFrames (которые используются для встраивания контента с одного веб-сайта в другой), которые были скрыты VPN. Это маскировало их действия и делало проблему с согласием на использование файлов cookie невидимой для других решений безопасности.
Хотя это был пагубный недосмотр, по крайней мере, данные не отправлялись злоумышленникам. Вместо этого Reflectiz обнаружил, что они направлялись законному стороннему рекламному сервису.
Высокая цена несоблюдения требований
Для компании, клиенты которой находятся в Европейском Союзе, применяется GDPR, и нарушение ее правил предоставления согласия на использование файлов cookie классифицируется как правонарушение категории Tier 2. Согласно этому регламенту, компании, которые не могут получить действительное согласие на использование файлов cookie, могут быть оштрафованы на сумму до 4% от их глобального годового оборота или 20 миллионов евро (21,94 миллиона долларов), в зависимости от того, какая сумма больше. Вот почему так важна возможность отслеживать поведение каждого ресурса, подключенного к веб-сайту, и почему Reflectiz оказался таким спасителем в данном случае.
Решение
Reflectiz увидел то, чего не смогли другие решения. Он идентифицировал 37 доменов, где файлы cookie использовались без согласия, обнаружил, куда отправлялись данные (в данном случае законному рекламодателю), и уполномочил розничного продавца устранить проблему до того, как она может обостриться.
Платформа Reflectiz предоставляет компаниям розничной торговли, финансов, медицины и других секторов информацию, необходимую им для соблюдения стандартов защиты данных и предотвращения подобных инцидентов, которые могут привести к штрафам, судебным искам и ущербу репутации. Он выполняется удаленно, что практически не влияет на производительность, а интуитивно понятный интерфейс обеспечивает быструю адаптацию сотрудников.
Основные рекомендации
- Нарушение согласия: Платформе не удалось обнаружить и проинформировать пользователей об определенных файлах cookie, введенных без надлежащего согласия, из-за отсутствия поля согласия на веб-сайте.
- Раскрыта секретность VPN: мониторинг Reflectiz выявил 37 доменов, в которые были введены файлы cookie без одобрения пользователей, вплоть до местоположения, изначально скрытого корпоративной VPN.
- Компрометация данных третьими лицами: скомпрометированные данные попали во внешний домен в результате несанкционированного внедрения файлов cookie, вызванного путешествием конкретного пользователя.
- Незамеченное отслеживание iFrame: неконтролируемая активность iFrame способствовала нарушениям конфиденциальности, отслеживая данные пользователя без согласия.
- Угроза использования файлов cookie с неправильной настройкой: неправильно настроенный файл cookie способствовал нарушению конфиденциальности, создавая значительную угрозу конфиденциальности пользователей.
- Урок по нарушению связи: Улучшение межведомственной коммуникации, особенно между службой безопасности и маркетингом, имеет решающее значение для предотвращения проблем, связанных с внедрением кода сторонних производителей.
- Важен постоянный мониторинг: Этот пример подчеркивает острую необходимость постоянного мониторинга и бдительности в постоянно меняющемся ландшафте конфиденциальности в Интернете для поддержания доверия пользователей и соблюдения правил защиты данных.
Для получения дополнительной информации и углубленного анализа вы можете загрузить полное тематическое исследование здесь.
