Търсене
Close this search box.

Макар че кибератаките срещу уебсайтове се радват на голямо внимание, често има неадресирани рискове, които могат да доведат до съдебни дела и нарушаване на неприкосновеността на личния живот дори при липса на хакерски инциденти. Ново проучване  обръща внимание на един от тези по-често срещани случаи.

Това е сценарий, който би могъл да засегне всякакъв вид компании – от здравеопазването до финансите, от електронната търговия до застраховането или всяка друга индустрия. Наскоро Reflectiz, доставчик на усъвършенствани решения за сигурност на уебсайтове, публикува проучване, фокусирано върху забравен и неправилно конфигуриран пиксел, който е бил свързан с водещ световен доставчик на здравни услуги. Тази забравена част от кода тайно е събирала частни данни без съгласието на потребителя, което потенциално е изложило компанията на значителни глоби и е навредило на репутацията ѝ.

В днешно време се е превърнало в обичайна практика компаниите да вграждат такива пиксели в своите уебсайтове. Например пикселът на TikTok е типичен пример, добавен към уебсайтове за проследяване на събитията на сайта за TikTok. Когато обаче подобен пиксел се отклони от предназначението си и започне да работи по неразрешен начин, това може да доведе до значителни проблеми. В този контекст „неправомерно“ означава неразрешено събиране и споделяне на потребителски данни, което може да доведе до нарушаване на различни разпоредби за защита на данните.

Забравеният пиксел

В казуса се разглежда значителен инцидент, включващ уебсайт за здравни грижи и външен доставчик на маркетингови услуги. Преди четири години, по време на маркетингова кампания, доставчикът на маркетингови услуги е включил пиксели за проследяване в уебсайта. За съжаление пикселът е бил пренебрегнат и е останал на сайта след приключване на кампанията. С течение на времето, когато уебсайтът претърпял промени и разширения, този забравен пиксел продължил да събира чувствителна здравна информация за пациентите (PHI), без да бъде открит. Reflectiz, проактивен доставчик на решения за сигурност на уебсайтове, изигра ключова роля в идентифицирането и ограничаването на това изтичане на данни.

Web Security

Дрейф на конфигурацията в сложни уеб среди

Сложните уеб среди често страдат от човешки грешки, които често се дължат на фактори като претоварване и стрес. Тази ситуация оставя значителна възможност за потенциални проблеми със сигурността и поверителността, като един от най-често срещаните проблеми е изместването на конфигурацията.

Устойчивостта на конфигурацията се отнася до ситуация, при която конфигурациите на ИТ системите, софтуера или инфраструктурните компоненти се отклоняват от предвиденото или желаното състояние с течение на времето. Това може да се случи поради различни фактори, включително ръчни промени, актуализации на софтуера или непреднамерени промени. Отклонението на конфигурацията може да доведе до несъответствия, уязвимости и проблеми с производителността на системата, като по този начин се превръща в предизвикателство за поддържане на надеждността, сигурността и съответствието на системата с установените стандарти. Организациите обикновено разчитат на инструменти за управление и наблюдение на конфигурацията, за да откриват и коригират всички отклонения от желаната конфигурация.

Тежки проблеми със съответствието

В този казус Reflectiz изследва сериозните предизвикателства, свързани със съответствието, с които компаниите могат да се сблъскат, когато се справят с некоректни пиксели в своите уеб среди. В този раздел ще бъдат подчертани следните проблеми:

  • Съответствие с изискванията за поверителност: Всяка компания трябва да се придържа към местните разпоредби за защита на личните данни, като GDPR в Европа и CCPA в Калифорния. Неспазването на тези правила може да доведе до значителни глоби, включително глоби в размер до 20 млн. евро (21 млн. USD) или 4% от годишния глобален оборот на компанията в ЕС и глоба от 7500 USD за всяко нарушение в Калифорния. Например нарушение, включващо загуба на 10 000 записа в Калифорния, може да доведе до глоба в размер на 7 500 000 USD.
  • Съответствие с PCI v4.0: От онлайн фирмите със страници за плащане се изисква да спазват най-новите разпоредби на PCI v4.0. За да поддържат съответствието, те трябва да използват непрекъснато наблюдение и други инструменти за сигурност, за да защитят информацията за кредитните карти на клиентите.
  • Специфични за индустрията разпоредби: Специфични отрасли са обект на уникални регулаторни рамки, като например разпоредбите на HIPAA в сектора на здравеопазването. По-долу е представена диаграма, очертаваща свързаните с тях санкции за неспазване на изискванията:

Web Security

 

Решението

Иновативното решение за сигурност на уебсайтове на Reflectiz изигра решаваща роля за откриването и деактивирането на забравения  пиксел, като даде ценен урок за важността на постоянната бдителност.

С Reflectiz можете да:

  • Непрекъснато да наблюдавате всички чувствителни уеб страници, за да откриете подозрителна активност на всеки уеб компонент.
  • Идентифицирате и блокирате уеб компоненти на трети страни, които проследяват дейността на вашите потребители без тяхното съгласие.
  • Да откривате кои трети страни получават разрешения за геолокация, камера и микрофон на потребителите без тяхно съгласие.
  • Картографирайте всички уеб компоненти, които имат достъп до чувствителна информация.
  • Потвърдете дали всички съществуващи инструменти за уеб сигурност функционират по предназначение.

 

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
01/12/2024

Клуб от италианската Серия ...

Футболен клуб „Болоня 1909“ потвърди, че...
27/11/2024

Операция „Серенгети“: 1006 ...

Интерпол арестува 1006 заподозрени в Африка...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!