TikTok Pixel-privacy-nachtmerrie: een nieuwe casestudy

Adverteren op TikTok is de voor de hand liggende keuze voor elk bedrijf dat een jonge markt probeert te bereiken, en vooral als het een reisorganisatie is: 44% van de Amerikaanse generatie Z zegt het platform te gebruiken om hun vakanties te plannen. Maar een online reismarktplaats die zich richtte op jonge vakantiegangers met advertenties op het populaire videodeelplatform overtrad de AVG-regels toen een externe partner een TikTok-pixel verkeerd configureerde op een van zijn regionale sites. Een intrigerende nieuwe casestudy onthult hoe het cyberbeveiligingsbedrijf dat het probleem ontdekte, voorkwam dat een datalek een kostbare overstroming werd.

Voor de volledige casestudy, klik hier.

Gevaren dicht bij huis

Cyberaanvallen halen vaak de krantenkoppen omdat hacken een natuurlijke aandachttrekker is. De groepen achter de aanslagen lijken moderne struikrovers, schimmige figuren die achter een masker van anonimiteit talloze slachtoffers kunnen beroven. Gezichtsloze criminelen als deze zullen altijd de aandacht van de lezers trekken, en hoewel dit begrijpelijk is, doen we er goed aan aandacht te besteden aan enkele van de minder dramatische veiligheidsrisico’s die net zo schadelijk kunnen zijn.

Er wordt wel eens gezegd dat als nieuwskanalen zich zouden concentreren op het melden van de grootste bedreigingen voor ons leven, elk verhaal zou gaan over hartziekten en hoe deze te voorkomen, omdat er vele malen meer mensen aan overlijden dan gebeurtenissen als oorlogen en auto-ongelukken. Hetzelfde geldt voor cyberdreigingen. Hoewel grote hacks ons doen nadenken, worden veel inbreuken veroorzaakt door eenvoudige, alledaagse fouten in de ‘huishouding’, en dat is wat er gebeurde met het bedrijf dat in deze nieuwe downloadbare casestudy wordt beschreven.

Wat is er gebeurd?

Hoewel we de betrokken mondiale reismarktplaats niet noemen (om het niet in verlegenheid te brengen), heet het cyberbeveiligingsbedrijf dat het probleem heeft ontdekt Reflectiz. Het belangrijkste product is een platform met innovatieve monitoringtechnologie dat de bevindingen presenteert in een duidelijk, intuïtief dashboard. Onder de motorkap scant het websites met behulp van een eigen browser die het gedrag van gebruikers nabootst. Het brengt elke web-app of codefragment van derden in kaart die met de site is verbonden, inclusief objecten die zijn ingebed in iFrames. Dus als een code zich verdacht gedraagt ​​of gegevens ergens naartoe stuurt waar dat niet zou moeten, merkt Reflectiz dit op en waarschuwt de gebruiker.

De casestudy beschrijft hoe een van de scans een verkeerd geconfigureerde TikTok-pixel aan het licht bracht. TikTok heeft 1,6 miljard gebruikers, dus je hebt de naam waarschijnlijk wel eens gehoord. Als je dat nog niet hebt gedaan, is het een sociaal mediaplatform voor het delen van video’s in China dat enorm populair is onder jongeren. Toen de reisorganisatie Reflectiz ging gebruiken, ontdekte het dat de pixel zonder hun toestemming gevoelige gebruikersgegevens verzamelde en naar de Chinese servers van TikTok stuurde, omdat deze niet correct was geïmplementeerd.

Hoewel het er in dit geval niet op lijkt dat er sprake was van kwade bedoelingen, zou het grote voordeel voor bedrijven van elke omvang moeten zijn dat dit de uitkomst niet verandert. Online bedrijven die klantgegevens vrijgeven zonder de uitdrukkelijke toestemming van gebruikers zullen nog steeds de regelgeving inzake gegevensprivacy zoals de AVG schenden en de toezichthouder kan het nodig achten om deze sancties op te leggen.

Voor de volledige casestudy, klik hier.

De kosten van niet-naleving

Het niet naleven van de AVG (de Algemene Verordening Gegevensbescherming) kan leiden tot aanzienlijke boetes:

  • Boetes: tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van welke van de twee het hoogst is. Het exacte bedrag is afhankelijk van de aard van de overtreding en de omvang van de organisatie.
  • Reputatieschade: Niet-naleving kan de reputatie van een organisatie schaden, waardoor het vertrouwen van de klant verloren gaat en potentiële zakelijke kansen ontstaan.
  • Bevelen om de verwerking te staken: regelgevende instanties kunnen het bedrijf bevelen te stoppen met het verwerken van persoonsgegevens, wat de bedrijfsvoering kan verstoren.
  • Schadevergoedingsclaims: personen die door de inbreuk worden getroffen, kunnen schadeclaims indienen.
  • Verhoogd toezicht: Organisaties die zich niet aan de regels houden, krijgen mogelijk meer aandacht van toezichthouders en kunnen aan audits worden onderworpen.
  • Juridische kosten: het verdedigen tegen claims of boetes kan aanzienlijke juridische kosten met zich meebrengen.

Hoewel dat allemaal een beetje hypothetisch kan klinken, hebben toezichthouders actie ondernomen. In een recent voorbeeld, uit juni 2024, heeft de Zweedse instantie voor gegevensbescherming (IMY) een online apotheek een boete opgelegd van 15 miljoen Zweedse kronen (ongeveer $1,45 miljoen) wegens oneigenlijk gebruik van de Facebook Pixel. De apotheek activeerde de functies Automatic Advanced Matching (AAM) en Automatic Events (AE) van Facebook Pixel ‘per ongeluk’, wat resulteerde in de overdracht van gevoelige persoonlijke gegevens naar Facebook/Meta. Deze onbedoelde inbreuk trof tussen 2019 en 2021 tussen de 500.000 en een miljoen individuen.

Voor de volledige casestudy, klik hier.

De oplossing

Hoewel we de exacte omvang van de inbreuk in de casestudy van de reisorganisatie niet kennen, weten we wel dat Reflectiz de verkeerde configuratie van TikTok heeft opgemerkt voordat deze meer schade kon aanrichten, waardoor het bedrijf waarschijnlijk een fortuin aan boetes en reputatieverlies zou kunnen besparen.

Ondanks dat het zo krachtig is, vereist Reflectiz geen installatie. Er is slechts een eenvoudig onboardingproces dat begint met een scan op afstand om het hele web-ecosysteem in kaart te brengen. Daarna controleert het voortdurend alle gevoelige webpagina’s en zal het elke verdachte activiteit van elk webonderdeel detecteren en markeren.

De oplossing kan webcomponenten van derden identificeren die de activiteiten van klanten volgen zonder hun toestemming, inclusief pogingen om hun geografische locatie vast te leggen of om hun camera’s en microfoons zonder toestemming te gebruiken. Nu er zoveel op het spel staat, kan geen enkel bedrijf het zich veroorloven te worden overvallen door zoiets vermijdbaars als een verkeerde configuratie van de trackingpixels.

Voor het volledige verhaal over dit waarschuwende verhaal kunt u hier de volledige casestudy downloaden.

Thijs Van der Does