64% van de applicaties van derden heeft zonder rechtvaardiging toegang tot gevoelige gegevens

Cyberbeveiliging
64% van de applicaties van derden heeft zonder rechtvaardiging toegang tot gevoelige gegevens
  • Uit onderzoek dat 4.700 toonaangevende websites analyseert, blijkt dat 64% van de applicaties van derden nu toegang heeft tot gevoelige gegevens zonder zakelijke rechtvaardiging, vergeleken met 51% in 2024.
  • De kwaadwillige activiteiten van de overheidssector zijn gestegen van 2% naar 12,9%, terwijl 1 op de 7 onderwijssites actief compromissen vertoont.
  • Specifieke overtreders: Google Tag Manager (8% van de overtredingen), Shopify (5%), Facebook Pixel (4%).

Download de volledige analyse van 43 pagina’s →

TL; DR

Uit het onderzoek uit 2026 komt een kritieke kloof naar voren: terwijl 81% van de beveiligingsleiders webaanvallen een topprioriteit noemt, heeft slechts 39% oplossingen ingezet om het bloeden te stoppen.

Uit onderzoek van vorig jaar bleek dat 51% van de gebruikers ongerechtvaardigde toegang had. Dit jaar is dat 64% – en het stijgt steeds sneller naar de openbare infrastructuur.

Wat is webblootstelling?

Gartner heeft ‘Web Exposure Management’ bedacht om de beveiligingsrisico’s van applicaties van derden te beschrijven: analyses, marketingpixels, CDN’s en betalingstools. Elke verbinding vergroot je aanvalsoppervlak; een compromis met één enkele leverancier kan een enorm datalek veroorzaken door code te injecteren om inloggegevens te verzamelen of betalingen te afromen.

Dit risico wordt gevoed door een kloof in het bestuur, waarbij marketing- of digitale teams apps implementeren zonder toezicht van IT. Het resultaat is een chronische verkeerde configuratie, waarbij toepassingen met te veel machtigingen toegang krijgen tot gevoelige gegevensvelden die ze functioneel niet nodig hebben.

Dit onderzoek analyseert precies welke gegevens deze apps van derden gebruiken en of ze een legitieme zakelijke rechtvaardiging hebben.

Methodologie

Gedurende twaalf maanden (eindigend in november 2025) analyseerde Reflectiz 4.700 toonaangevende websites met behulp van zijn eigen Exposure Rating-systeem. Het analyseert het enorme aantal datapunten dat het verzamelt door het scannen van miljoenen websites door elke risicofactor in zijn context te beschouwen, voegt ze samen om een ​​algemeen risiconiveau te creëren en drukt dit uit in een eenvoudig cijfer, van A tot F. De bevindingen werden aangevuld met een onderzoek onder meer dan 120 beveiligingsleiders in de gezondheidszorg, de financiële sector en de detailhandel.

De ongerechtvaardigde toegangscrisis

Het rapport benadrukt een groeiende kloof in het bestuur die ‘ongerechtvaardigde toegang’ wordt genoemd: gevallen waarin tools van derden toegang krijgen tot gevoelige gegevens zonder dat daar een aantoonbare zakelijke behoefte aan is.

Toegang wordt gemarkeerd wanneer een script van derden aan een van deze criteria voldoet:

  • Irrelevante functie: Het lezen van gegevens die niet nodig zijn voor zijn taak (bijvoorbeeld een chatbot die toegang krijgt tot betalingsvelden).
  • Nul-ROI-aanwezigheid: Actief blijven op pagina’s met een hoog risico, ondanks meer dan 90 dagen zonder datatransmissie.
  • Schaduwimplementatie: Injectie via Tag Managers zonder toezicht op de beveiliging of ‘least privilege’-scoping.
  • Overmatige toestemming: Gebruik maken van “Volledige DOM-toegang” om hele pagina’s te schrapen in plaats van beperkte elementen.

“Organisaties verlenen standaard toegang tot gevoelige gegevens in plaats van uitzonderingen.” Deze trend is het meest acuut in de entertainment- en online-detailhandel, waar marketingdruk vaak zwaarder weegt dan veiligheidsbeoordelingen.

De studie identificeert specifieke instrumenten die deze blootstelling bevorderen:

  • Google Tagmanager: Is verantwoordelijk voor 8% van alle ongerechtvaardigde toegang tot gevoelige gegevens.
  • Shopify: 5% van ongerechtvaardigde toegang.
  • Facebook-pixel: In 4% van de geanalyseerde implementaties bleek de pixel te veel toestemming te hebben, waardoor gevoelige invoervelden werden vastgelegd die niet nodig waren voor functionele tracking.

Deze bestuurskloof is niet theoretisch. Uit een recent onderzoek onder meer dan 120 besluitvormers op het gebied van beveiliging uit de gezondheidszorg, de financiële sector en de detailhandel is gebleken dat 24% van de organisaties uitsluitend vertrouwt op algemene beveiligingstools zoals WAF, waardoor ze kwetsbaar zijn voor de specifieke risico’s van derden die uit dit onderzoek naar voren zijn gekomen. Nog eens 34% evalueert nog steeds speciale oplossingen, wat betekent dat 58% van de organisaties geen goede verdediging heeft, ondanks dat ze de dreiging onderkennen.

Kritieke infrastructuur wordt belegerd

Terwijl de statistieken enorme pieken laten zien in het aantal inbreuken op de overheid en het onderwijs, oorzaak is eerder financieel dan technisch.

  • Overheidssector: Schadelijke activiteiten explodeerden van 2% naar 12,9%.
  • Onderwijssector: tekenen van gecompromitteerde sites verviervoudigd tot 14,3% (1 op 7 sites)
  • Verzekeringssector: Daarentegen heeft deze sector de kwaadwillige activiteiten met 60% teruggebracht tot slechts 1,3%.

Instellingen met beperkte budgetten verliezen de strijd in de toeleveringsketen. Particuliere sectoren met betere bestuursbudgetten stabiliseren hun omgeving.

Respondenten uit de enquête bevestigden dit: 34% noemde budgetbeperkingen als hun voornaamste obstakel, terwijl 31% wees op een gebrek aan mankracht – een combinatie die publieke instellingen bijzonder hard treft.

De kloof tussen bewustzijn en actie

De bevindingen uit het onderzoek naar beveiligingsleiders leggen het disfunctioneren van de organisatie bloot:

  • 81% noemt webaanvallen een prioriteit → Slechts 39% implementeerde oplossingen
  • 61% evalueert nog steeds of gebruikt onvoldoende hulpmiddelen → Ondanks 51% → 64% ongerechtvaardigde stijging van de toegang
  • Belangrijkste obstakels: Begroting (34%), regelgeving (32%), personeelsbezetting (31%)

Resultaat: Bewustzijn zonder actie creëert kwetsbaarheid op grote schaal. Het verschil van 42 punten verklaart waarom de ongerechtvaardigde toegang jaar na jaar met 25% toeneemt.

De factor van de marketingafdeling

Een belangrijke aanjager van dit risico is de ‘Marketing Footprint’. Uit het onderzoek blijkt dat marketing- en digitale afdelingen nu 43% van alle risico’s van derden voor hun rekening nemen, vergeleken met slechts 19% die door IT wordt veroorzaakt.

Uit het rapport blijkt dat 47% van de apps die in betalingsframes worden uitgevoerd geen zakelijke rechtvaardiging hebben. Marketingteams implementeren vaak conversietools in deze gevoelige omgevingen zonder zich de implicaties ervan te realiseren.

Beveiligingsteams onderkennen deze bedreiging: in het praktijkonderzoek noemde 20% van de respondenten supply chain-aanvallen en scriptkwetsbaarheden van derden tot hun top drie van zorgen. Toch blijft de organisatiestructuur die deze risico’s zou voorkomen – uniform toezicht op de implementatie van derden – bij de meeste organisaties afwezig.

Hoe een pixelbreuk Polyfill.io kan overschaduwen

Met een alomtegenwoordigheid van 53,2% is de Facebook Pixel een systemisch single point of faillment. Het risico is niet de tool, maar de onbeheerde machtigingen: “Full DOM Access” en “Automatic Advanced Matching” transformeren marketingpixels in onbedoelde dataschrapers.

Het precedent: Een compromis zou vijf keer groter zijn dan de Polyfill.io-aanval uit 2024, waardoor gegevens op de helft van het grote internet tegelijkertijd zouden worden blootgelegd. Polyfill beïnvloedde in de loop van weken 100.000 sites; De alomtegenwoordigheid van Facebook Pixel van 53,2% betekent dat meer dan 2,5 miljoen sites onmiddellijk worden gecompromitteerd.

De oplossing: Contextbewuste implementatie. Beperk pixels tot landingspagina’s voor ROI, maar blokkeer ze strikt in betalings- en inlogframes waar ze geen zakelijke rechtvaardiging hebben.

Hoe zit het met de TikTok-pixel en andere trackers? Download het volledige rapport voor meer inzichten >>

Technische indicatoren van compromis

Voor het eerst lokaliseert dit onderzoek technische signalen die gecompromitteerde sites voorspellen.

Gecompromitteerde sites maken niet altijd gebruik van kwaadaardige apps; ze worden gekenmerkt door “luidruchtiger” configuraties.

Geautomatiseerde detectiecriteria:

  • Recent geregistreerde domeinen: Domeinen die in de afgelopen zes maanden zijn geregistreerd verschijnen 3,8x vaker op gecompromitteerde sites.
  • Externe aansluitingen: Gecompromitteerde sites maken verbinding met 2,7x meer externe domeinen (100 versus 36).
  • Gemengde inhoud: 63% van de besmette sites combineert HTTPS/HTTP-protocollen.

Benchmarks voor beveiligingsleiders

Van de 4.700 geanalyseerde sites vertoonden er 429 sterke beveiligingsresultaten. Deze organisaties bewijzen dat functionaliteit en veiligheid naast elkaar kunnen bestaan:

  • ticketweb.uk: Enige site die aan alle 8 benchmarks voldoet (Grade A+)
  • GitHub, PayPal, Yale Universiteit: Voldoen aan 7 benchmarks (Grade A)

De 8 beveiligingsbenchmarks: leiders versus gemiddelden

De onderstaande benchmarks vertegenwoordigen haalbare doelstellingen op basis van prestaties uit de praktijk, en niet op theoretische idealen. Leiders onderhouden ≤8 apps van derden, terwijl de gemiddelde organisatie met 15-25 worstelt. Het verschil zit niet in de middelen, maar in het bestuur. Hier ziet u hoe ze zich verhouden tot alle acht statistieken:

Drie Quick Wins om prioriteiten te stellen

1. Audittrackers

Inventariseer elke pixel/tracker:

  • Identificeer de eigenaar en de zakelijke rechtvaardiging
  • Verwijder tools die gegevenstoegang niet kunnen rechtvaardigen

Prioritaire oplossingen:

  • Facebook Pixel: Schakel ‘Automatic Advanced Matching’ uit op PII-pagina’s
  • Google Tag Manager: Controleer of er geen toegang tot de betalingspagina is
  • Shopify: controleer app-machtigingen

2. Implementeer geautomatiseerde monitoring

Implementeer runtime monitoring voor:

  • Gevoelige veldtoegangsdetectie (kaarten, SSN’s, inloggegevens)
  • Realtime waarschuwingen voor ongeautoriseerde verzameling
  • Bijhouden van CSP-schendingen

3. Pak de kloof tussen marketing en IT aan

Gezamenlijke CISO + CMO review:

  • Marketingtools in betalingsframes
  • Facebook Pixel-scoping (gebruik lijsten met toegestane/uitsluitingen)
  • Tracker ROI versus beveiligingsrisico

Download het volledige rapport

Ontvang de volledige analyse van 43 pagina’s, inclusief:

Risico-uitsplitsingen per sector

Volledige lijst met risicovolle apps van derden

Trendanalyse van jaar tot jaar

Best practices van beveiligingsleiders

DOWNLOAD HIER HET VOLLEDIGE RAPPORT

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De vergaderruimtedetectiefunctie van Google Meet komt naar mobiele apparaten

Californië lanceert groot onderzoek naar de geseksualiseerde AI-beelden van Grok

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]