Търсене
Close this search box.

Забравеният пиксел – рисковете

Макар че кибератаките срещу уебсайтове се радват на голямо внимание, често има неадресирани рискове, които могат да доведат до съдебни дела и нарушаване на неприкосновеността на личния живот дори при липса на хакерски инциденти. Ново проучване  обръща внимание на един от тези по-често срещани случаи.

Това е сценарий, който би могъл да засегне всякакъв вид компании – от здравеопазването до финансите, от електронната търговия до застраховането или всяка друга индустрия. Наскоро Reflectiz, доставчик на усъвършенствани решения за сигурност на уебсайтове, публикува проучване, фокусирано върху забравен и неправилно конфигуриран пиксел, който е бил свързан с водещ световен доставчик на здравни услуги. Тази забравена част от кода тайно е събирала частни данни без съгласието на потребителя, което потенциално е изложило компанията на значителни глоби и е навредило на репутацията ѝ.

В днешно време се е превърнало в обичайна практика компаниите да вграждат такива пиксели в своите уебсайтове. Например пикселът на TikTok е типичен пример, добавен към уебсайтове за проследяване на събитията на сайта за TikTok. Когато обаче подобен пиксел се отклони от предназначението си и започне да работи по неразрешен начин, това може да доведе до значителни проблеми. В този контекст „неправомерно“ означава неразрешено събиране и споделяне на потребителски данни, което може да доведе до нарушаване на различни разпоредби за защита на данните.

Забравеният пиксел

В казуса се разглежда значителен инцидент, включващ уебсайт за здравни грижи и външен доставчик на маркетингови услуги. Преди четири години, по време на маркетингова кампания, доставчикът на маркетингови услуги е включил пиксели за проследяване в уебсайта. За съжаление пикселът е бил пренебрегнат и е останал на сайта след приключване на кампанията. С течение на времето, когато уебсайтът претърпял промени и разширения, този забравен пиксел продължил да събира чувствителна здравна информация за пациентите (PHI), без да бъде открит. Reflectiz, проактивен доставчик на решения за сигурност на уебсайтове, изигра ключова роля в идентифицирането и ограничаването на това изтичане на данни.

Web Security

Дрейф на конфигурацията в сложни уеб среди

Сложните уеб среди често страдат от човешки грешки, които често се дължат на фактори като претоварване и стрес. Тази ситуация оставя значителна възможност за потенциални проблеми със сигурността и поверителността, като един от най-често срещаните проблеми е изместването на конфигурацията.

Устойчивостта на конфигурацията се отнася до ситуация, при която конфигурациите на ИТ системите, софтуера или инфраструктурните компоненти се отклоняват от предвиденото или желаното състояние с течение на времето. Това може да се случи поради различни фактори, включително ръчни промени, актуализации на софтуера или непреднамерени промени. Отклонението на конфигурацията може да доведе до несъответствия, уязвимости и проблеми с производителността на системата, като по този начин се превръща в предизвикателство за поддържане на надеждността, сигурността и съответствието на системата с установените стандарти. Организациите обикновено разчитат на инструменти за управление и наблюдение на конфигурацията, за да откриват и коригират всички отклонения от желаната конфигурация.

Тежки проблеми със съответствието

В този казус Reflectiz изследва сериозните предизвикателства, свързани със съответствието, с които компаниите могат да се сблъскат, когато се справят с некоректни пиксели в своите уеб среди. В този раздел ще бъдат подчертани следните проблеми:

  • Съответствие с изискванията за поверителност: Всяка компания трябва да се придържа към местните разпоредби за защита на личните данни, като GDPR в Европа и CCPA в Калифорния. Неспазването на тези правила може да доведе до значителни глоби, включително глоби в размер до 20 млн. евро (21 млн. USD) или 4% от годишния глобален оборот на компанията в ЕС и глоба от 7500 USD за всяко нарушение в Калифорния. Например нарушение, включващо загуба на 10 000 записа в Калифорния, може да доведе до глоба в размер на 7 500 000 USD.
  • Съответствие с PCI v4.0: От онлайн фирмите със страници за плащане се изисква да спазват най-новите разпоредби на PCI v4.0. За да поддържат съответствието, те трябва да използват непрекъснато наблюдение и други инструменти за сигурност, за да защитят информацията за кредитните карти на клиентите.
  • Специфични за индустрията разпоредби: Специфични отрасли са обект на уникални регулаторни рамки, като например разпоредбите на HIPAA в сектора на здравеопазването. По-долу е представена диаграма, очертаваща свързаните с тях санкции за неспазване на изискванията:

Web Security

 

Решението

Иновативното решение за сигурност на уебсайтове на Reflectiz изигра решаваща роля за откриването и деактивирането на забравения  пиксел, като даде ценен урок за важността на постоянната бдителност.

С Reflectiz можете да:

  • Непрекъснато да наблюдавате всички чувствителни уеб страници, за да откриете подозрителна активност на всеки уеб компонент.
  • Идентифицирате и блокирате уеб компоненти на трети страни, които проследяват дейността на вашите потребители без тяхното съгласие.
  • Да откривате кои трети страни получават разрешения за геолокация, камера и микрофон на потребителите без тяхно съгласие.
  • Картографирайте всички уеб компоненти, които имат достъп до чувствителна информация.
  • Потвърдете дали всички съществуващи инструменти за уеб сигурност функционират по предназначение.

 

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
17/04/2024

FTC налага глоби на стартъп...

Федералната търговска комисия на САЩ (FTC)...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
10/04/2024

AT&T твърди, че пробива...

AT&T уведомява 51 милиона бивши и...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!