De staat van internetblootstelling in 2025

Cyberbeveiliging
De staat van internetblootstelling in 2025

Lekken uw websites gevoelige gegevens? Uit nieuw onderzoek blijkt dat 45% van de apps van derden toegang heeft tot gebruikersinformatie zonder de juiste autorisatie, en dat 53% van de risicoblootstellingen in de detailhandel te wijten zijn aan overmatig gebruik van trackingtools. Ontdek hoe u deze verborgen bedreigingen en risico’s kunt ontdekken en beperken. Download hier het volledige rapport.

Nieuw onderzoek door webexposure-managementspecialist Reflectiz onthult verschillende alarmerende bevindingen over het grote aantal website-kwetsbaarheden waaraan organisaties in veel sectoren zichzelf onnodig blootstellen.

Een opvallende statistiek uit het rapport is bijvoorbeeld dat 45% van de applicaties van derden heeft zonder goede reden toegang tot gevoelige gebruikersinformatie. Hoewel apps van derden essentieel kunnen zijn voor marketing- en functionaliteitsdoeleinden, hebben ze niet allemaal toegang nodig tot het soort persoonlijke en financiële gebruikersinformatie waar cybercriminelen naar op zoek zijn. Het is veiliger om de toegang van apps daartoe te beperken op basis van ‘need-to-know’.

Voor het rapport heeft Reflectiz zijn eigen bedrijfsgegevens verzameld van de top 100 websites (op basis van het aantal sitebezoeken) in elke branche, dus het feit dat bijna de helft van alle apps van derden in zo’n grote steekproef gevoelige gebruikersgegevens verzamelt wanneer dat niet nodig is, komt als een verrassing.

Het besef dat deze praktijk zo wijdverspreid is, zal ervoor zorgen dat veel website-eigenaren zich afvragen welke andere verrassingen er nog meer op de loer liggen in hun web-ecosystemen en hoe groot hun voetafdruk op het web werkelijk is. Als er één ding is dat eigenaren in welke branche dan ook uit dit rapport kunnen halen, is het dat ze vrijwel gegarandeerd zelf onverwachte, onopgeloste kwetsbaarheden hebben. (En de onderstaande grafiek suggereert sterk dat dit het geval zal zijn…)

Gevoelige gegevensblootstelling

Onderstaande grafiek, afkomstig uit het rapport, laat zien dat er tussen sectoren verschillen bestaan ​​als het gaat om apps die toegang hebben tot gevoelige gebruikersgegevens. Met dat in gedachten willen bedrijven die actief zijn in de entertainment- en online retailsector wellicht extra aandacht besteden aan hoeveel van hun apps onnodig toegang krijgen tot gevoelige gegevens en zo hun zichtbaarheid op internet vergroten.

Als u niet bekend bent met de term webexposure: deze is door Gartner bedacht om de reeks risico’s te beschrijven waarmee moderne websites worden geconfronteerd omdat ze verbinding maken met tientallen essentiële apps van derden, CDN-opslagplaatsen en open source-tools die helpen bij het volgen en functionele taken. Elk ervan vergroot het aanvalsoppervlak en is een potentieel doelwit voor kwaadwillende actoren, maar hoewel website-eigenaren het gebruik van deze verbonden middelen niet kunnen vermijden, kunnen ze stappen ondernemen om ze allemaal veiliger te maken. Controleren of apps van derden niet onnodig toegang hebben tot gevoelige persoonlijke, financiële en gezondheidsinformatie van gebruikers is een goed begin voor een snelle overwinning, maar het rapport onthult nog veel meer.

Er wordt bijvoorbeeld naar de populariteit van apps gekeken als een risicofactor:

Het is algemeen aanvaard dat populaire apps veiliger zijn. Dit is gebaseerd op het idee dat als een app al heel lang bestaat en een aanzienlijke gebruikersbasis heeft ontwikkeld, gebruikersgemeenschappen en beveiligingsprofessionals tot een juiste conclusie over de reputatie van de app zullen zijn gekomen. Ze zullen weten of het robuust is en of de ontwikkelaars moderne codeermethoden kunnen gebruiken, verbeteringen kunnen aanbrengen en bugs snel kunnen patchen. Minder populaire apps worden vaker verwaarloosd en lopen een groter risico op compromissen. Daarom mogen ze niet worden vertrouwd als ze toegang willen krijgen tot persoonlijke gebruikersgegevens. Op basis daarvan wordt een populaire app als minder riskant gezien dan een app die gisteren verscheen.

Uit het bovenstaande diagram blijkt dat:

  • Websites uit de vrijetijds- en horecasector integreren gemiddeld iets meer dan twee impopulaire apps.
  • Online detailhandel en entertainment omvatten er ongeveer één.

Als eigenaren niet hebben vastgesteld dat deze apps veilig zijn, kunnen ze het beste deze uitschakelen en alternatieven gebruiken totdat ze dat wel doen. Door eenvoudige stappen als deze te nemen, wordt de algehele score op het internet verlaagd.

Trackingtechnologieën

Dat gezegd hebbende, kunnen zelfs gevestigde apps van derden de zichtbaarheid van een organisatie op internet vergroten, met name tracking-apps, zoals uit het onderstaande diagram blijkt:

Het is bijvoorbeeld bekend dat de Facebook- en TikTok-pixels privégebruikersinformatie verzamelen nadat ze verkeerd zijn geconfigureerd. Dit is de reden waarom het onderzoek de prevalentie van deze en andere trackingtechnologieën op verschillende branchewebsites bestrijkt, maar wat interessant is aan dit onderzoek (en aan de gegevensverzameling van Reflectiz die het heeft geïnformeerd) is het feit dat alleen al het aantal trackers of pixels dat wordt ingezet onthult niet noodzakelijkerwijs het hele plaatje.

Als u bijvoorbeeld naar het onderstaande diagram kijkt, lijkt het erop dat websites uit de uitgeverijsector het grootste risico vormen voor de privacy van gebruikers, omdat ze elk gemiddeld zo’n twaalf trackers hebben. Hoewel het erop lijkt dat ze twee keer zoveel mogelijkheden bieden om gegevens te stelen voor kwaadwillende actoren als gezondheidszorgwebsites, met elk iets minder dan zes trackers, zijn er meer factoren waarmee rekening moet worden gehouden.

Hoewel deze bevindingen uitgevers ertoe zouden moeten aanzetten hun gebruik van trackingtechnologieën te herzien vanwege de privacyrisico’s, zouden ze ook het onderstaande diagram als richtsnoer moeten nemen om zich af te vragen waar deze pixels worden ingezet en door wie. Het rapport onthult niet alleen potentieel compromitterende praktijken, het moedigt bedrijven ook aan het belang van context te beseffen. In dit geval omvat de context wat er wordt gedaan en welke afdeling dit doet:

Uit de State of Web Exposure 2025 blijkt dat marketing- en digitale afdelingen vaker zonder reden risico’s initiëren, zoals het volgen van pixels in betalings-iFrames. Dit is een inherent gevaarlijkere context dan het weergeven van een pixel op een pagina vol statische afbeeldingen, omdat de kans groter is dat de betalingsgegevens van gebruikers worden gestolen als deze door kwaadwillende actoren wordt gewijzigd. (Het kan ook een risicovollere context zijn dan een gezondheidszorgwebsite, die doorgaans meer aanvallen van kwaadwillende actoren zal aantrekken.) Daarom moet een uitgeverij die zijn algehele internetblootstelling wil verminderen, prioriteit geven aan best-practicetraining voor het personeel van de marketingafdeling.

De onderste regel

Het rapport levert veel interessante inzichten op: websites uit de entertainmentindustrie ondervinden bijna twee keer zoveel kwaadaardige activiteit als bijvoorbeeld sites uit de financiële sector. Sites uit de onderwijssector zijn blootgesteld aan grote risico’s vanwege hun overmatige afhankelijkheid van openbare netwerken voor het leveren van inhoud. Naarmate dergelijke inzichten zich opstapelen, wordt het duidelijk dat bedrijven in verschillende sectoren die hun internetaandeel willen verminderen, geen one-size-fits-all aanpak kunnen hanteren. De context van de risicofactoren die hen beïnvloeden, zal hun reacties daarop bepalen.

Uit het rapport blijkt dat elke sector wordt geconfronteerd met een landschap van dynamisch veranderende risicovariabelen, en de noodzaak om deze om te zetten in uitvoerbare prioriteiten is wat Reflectiz ertoe heeft aangezet om te pionieren met een innovatieve technologie genaamd Exposure Rating. Het analyseert het enorme aantal datapunten dat het verzamelt door het scannen van miljoenen websites door elke risicofactor in zijn context te beschouwen, voegt ze samen om een ​​algemeen risiconiveau te creëren en drukt dit uit als een eenvoudig cijfer, van A tot F, met extra herstel advies. Het is een gemakkelijk te begrijpen manier om de beveiligingsprioriteiten voor elke organisatie te identificeren, hun aandacht te richten op de plek waar dit het meest nodig is, en hun prestaties te vergelijken met branchegenoten.

Download hier het volledige onderzoeksrapport.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google maakt het moeilijker om per ongeluk 911 te bellen op je Pixel Watch

De batterijen van Galaxy S25 -serie gebruiken meer gerecyclede materialen dan ooit

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]