Het cookie-privacymonster in de grote mondiale detailhandel

Cyberbeveiliging
Cookie Privacy

Ontdek hoe een geavanceerde oplossing voor blootstellingsbeheer een grote klant uit de detailhandel heeft behoed voor de verkeerde stap vanwege een verkeerde configuratie in het cookiebeheerbeleid. Dit was niets kwaadaardigs, maar omdat moderne webomgevingen zo complex zijn, kunnen er fouten optreden en zijn boetes voor niet-naleving slechts een vergissing verwijderd.
Download de volledige casestudy hier.

Ben je als kind ooit betrapt met je hand in de koektrommel en jezelf een compliment gegeven? Nou ja, ook al kun je je nog herinneren dat je als koekjesmonster werd ontmaskerd, de straffen voor de hedendaagse stelende beesten zijn erger. Miljoenen dollars erger.

Cookies zijn een essentieel onderdeel van moderne webanalyse. Een cookie is een klein stukje tekstgegevens dat de voorkeuren van websitebezoekers en hun gedrag registreert, en het is de taak om hun surfervaring te helpen personaliseren. Net zoals u al die jaren geleden toestemming van uw ouders nodig had om toegang te krijgen tot de cookie-pot, moet uw bedrijf nu toestemming van de gebruiker verkrijgen voordat het cookies in de browser van een gebruiker injecteert en vervolgens informatie over zijn surfgedrag opslaat of deelt.

Als beheerder van de koektrommel van de website kan uw bedrijf deze niet plunderen zoals u deed toen u zes was. In beide situaties moet je toestemming krijgen, maar tegenwoordig kan de straf bestaan ​​uit hoge boetes van toezichthouders op het gebied van gegevensprivacy en dure rechtszaken van gebruikers.

Een nieuwe casestudy van Reflectiz, een toonaangevend websitebeveiligingsbedrijf, benadrukt hoe zijn geavanceerde oplossing voor blootstellingsbeheer een grote klant uit de detailhandel heeft gered van het belanden op de ondeugende stap als gevolg van een verkeerde configuratie in zijn cookiebeheerbeleid. Dit was niets kwaadaardigs zoals een webskimming- of keylogging-aanval, maar omdat moderne webomgevingen zo complex zijn en bedrijven als deze honderden websites moeten onderhouden, kunnen er fouten optreden en kunnen boetes voor niet-naleving slechts een vergissing zijn.

Voor het volledige verhaal kunt u de casestudy hier downloaden.

Iets over trackingcookies

Trackingcookies bestaan ​​al sinds de begindagen van het internet. In 1994 werkte Lou Montulli, een programmeur in dienst van de voorloper van Netscape, aan een e-commercetoepassing voor MCI, een van zijn klanten, die om een ​​virtueel winkelwagentje had gevraagd. Hij heeft cookies uitgevonden omdat we verifiëren of gebruikers de site eerder hebben bezocht en hun voorkeuren onthouden.

Er begonnen verhalen in het nieuws te verschijnen over het potentieel van cookies om de privacy te schenden, maar ondanks de publieke bezorgdheid duurde het tot 2011 voordat de Europese Unie wetgeving aannam om ervoor te zorgen dat websites de expliciete toestemming van gebruikers verkrijgen voordat ze cookies gebruiken.

Ongeautoriseerde tracking zonder toestemming voor cookies

In deze nieuwe casestudy probeerde een wereldwijde retailklant voortdurend verschillende gebruikerstrajecten op hun websites te monitoren, waarbij werd ontdekt dat 37 domeinen cookies injecteerden zonder de juiste toestemming van de gebruiker te verkrijgen. De conventionele beveiligingstools van het retailbedrijf bleven blind voor dit probleem vanwege de beperkingen die werden opgelegd door hun organisatorische VPN, waardoor de zichtbaarheid werd beperkt. Bovendien werden de frauduleuze en verkeerd geconfigureerde cookies in iFrame-componenten geïnjecteerd, waardoor standaardbeveiligingscontroles zoals WAF problemen kregen om effectief te controleren. Download hier de volledige casestudy.

Het probleem van de klant: verblind door VPN

Hoewel het platform van de retailer al over andere beveiligingsoplossingen beschikte, was het blind voor het probleem, namelijk het volgende: op 37 van zijn websites vond het volgen van cookies plaats zonder expliciete toestemming van bezoekers te verkrijgen. Dit gebeurde via iFrames (die worden gebruikt om inhoud van de ene website in de andere in te sluiten) die werden verborgen door een VPN. Dit maskeerde hun activiteiten en maakte het probleem met de toestemming voor cookies onzichtbaar voor de andere beveiligingsoplossingen.

Hoewel dit een schadelijke vergissing was, werden de gegevens in ieder geval niet naar kwaadwillende actoren gestuurd. In plaats daarvan ontdekte Reflectiz dat het naar een legitieme advertentiedienst van derden ging.

De hoge kosten van niet-naleving

Voor een bedrijf met klanten in de Europese Unie is de AVG van toepassing, en een overtreding van de regels voor het toestaan ​​van cookies wordt geclassificeerd als een overtreding van de categorie Tier 2. Volgens deze regelgeving kunnen bedrijven die geen geldige toestemming voor cookies verkrijgen een boete krijgen van maximaal 4% van hun wereldwijde jaaromzet of € 20 miljoen ($21,94 miljoen), afhankelijk van welk bedrag het hoogste is. Dit is de reden waarom het zo belangrijk is om het gedrag te kunnen volgen van elk item dat op een website is aangesloten, en waarom Reflectiz in dit geval zo’n redder in nood was.

De oplossing

Reflectiz zag wat de andere oplossingen niet konden. Het identificeerde de 37 domeinen waar cookies zonder toestemming werden gebruikt, ontdekte waar de gegevens naartoe werden gestuurd (in dit geval een legitieme adverteerder) en gaf de detailhandelaar de bevoegdheid om het probleem op te lossen voordat het kon escaleren.

Het Reflectiz-platform geeft bedrijven in de detailhandel, financiële, medische en andere sectoren de inzichten die ze nodig hebben om de naleving van gegevensbeschermingsnormen te handhaven en soortgelijke incidenten te voorkomen die kunnen resulteren in boetes, rechtszaken en reputatieschade. Het wordt op afstand uitgevoerd, dus er is vrijwel geen impact op de prestaties, en de intuïtieve interface zorgt ervoor dat de onboarding van medewerkers snel verloopt.

Belangrijkste leerpunten

  • Toestemmingstoezicht: Het platform slaagde er niet in gebruikers te detecteren en te informeren over bepaalde cookies die zonder de juiste toestemming waren geïnjecteerd, omdat er geen toestemmingsvak op de website aanwezig was.
  • VPN-geheim onthuld: Uit de monitoring van Reflectiz kwamen 37 domeinen naar voren die cookies injecteerden zonder toestemming van de gebruiker, terug te voeren op een locatie die aanvankelijk verborgen was door een organisatie-VPN.
  • Compromis van gegevens door derden: gecompromitteerde gegevens bereikten een extern domein via ongeautoriseerde cookie-injecties die werden geactiveerd door een specifiek gebruikerstraject.
  • Onopgemerkt iFrame-tracking: Niet-gecontroleerde iFrame-activiteit heeft bijgedragen aan privacyschendingen door gebruikersgegevens zonder toestemming bij te houden.
  • Verkeerd geconfigureerde cookiedreiging: Een verkeerd geconfigureerde cookie heeft de inbreuk op de privacy gefaciliteerd en vormt een aanzienlijke bedreiging voor de privacy van gebruikers.
  • Communicatie-analyseles: Verbeterde communicatie tussen afdelingen, vooral tussen beveiliging en marketing, is van cruciaal belang om problemen te voorkomen die verband houden met de implementatie van code door derden.
  • Continue monitoring van cruciaal belang: De zaak benadrukt de cruciale behoefte aan voortdurende monitoring en waakzaamheid in het steeds evoluerende landschap van online privacy om het vertrouwen van gebruikers te behouden en te voldoen aan de regelgeving op het gebied van gegevensbescherming.

Voor meer achtergrondinformatie en een diepgaande analyse kunt u de volledige casestudy hier downloaden.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

DOJ oordeelt dat eBay 3 miljoen dollar moet betalen in verband met intimidatiezaak

fuboTV zal onbeperkte cloud-DVR aanbieden, tegen een prijsstijging

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]