Gelişmiş bir risk yönetimi çözümünün, perakende sektöründeki büyük bir müşteriyi, çerez yönetimi politikasındaki yanlış yapılandırma nedeniyle hatalı adıma düşmekten nasıl kurtardığını keşfedin. Bu kötü niyetli bir şey değildi, ancak modern web ortamlarının çok karmaşık olması nedeniyle hatalar meydana gelebilir ve uyumsuzluk cezaları göz ardı edilebilir.
İndir vaka çalışmasının tamamı burada.
Çocukken hiç eliniz kurabiye kavanozuna takılıp da azarlanmayı hak ettiğiniz oldu mu? Kurabiye canavarı olarak anıldığınızı hâlâ hatırlasanız bile günümüzün hırsız canavarlarına verilecek cezalar daha da kötü. Milyonlarca dolar daha kötü.
Çerezler modern web analitiğinin önemli bir parçasıdır. Çerez, web sitesi ziyaretçilerinin tercihlerini ve davranışlarını kaydeden küçük bir metin verisidir ve görevi, gezinme deneyimlerinin kişiselleştirilmesine yardımcı olmaktır. Tıpkı yıllar önce çerez kavanozuna erişmek için ebeveyn iznine ihtiyaç duyduğunuz gibi, işletmenizin de artık kullanıcının tarayıcısına çerezleri yerleştirmeden ve daha sonra gezinme alışkanlıklarıyla ilgili bilgileri saklamadan veya paylaşmadan önce kullanıcı izni alması gerekiyor.
Web sitesinin çerez kavanozunun sorumlusu olarak işletmeniz, altı yaşındayken yaptığınız gibi oraya baskın yapamaz. Her iki durumda da izin almanız gerekir, ancak bu günlerde ceza, veri gizliliği düzenleyicilerinden ağır para cezaları ve kullanıcılardan pahalı davalar olabilir.
Önde gelen bir web sitesi güvenlik şirketi olan Reflectiz’in yeni bir vaka çalışması, şirketin ne kadar gelişmiş olduğunu vurguluyor maruz kalma yönetimi çözüm, perakende sektöründeki büyük bir müşteriyi, çerez yönetimi politikasındaki yanlış yapılandırma nedeniyle hatalı bir adım atmaktan kurtardı. Bu, web taraması gibi kötü niyetli bir şey değildi veya keylogging saldırısıancak modern web ortamları çok karmaşık olduğundan ve bunun gibi şirketlerin bakımı gereken yüzlerce web sitesi olduğundan hatalar meydana gelebilir ve uyumsuzluk cezaları göz ardı edilebilir.
Hikayenin tamamı için vaka çalışmasını indirebilirsiniz Burada.
Çerezleri İzleme Hakkında Biraz
Çerezleri izlemek internetin ilk günlerinden beri var. 1994 yılında, Netscape’in öncüsü tarafından istihdam edilen bir programcı olan Lou Montulli, sanal bir alışveriş sepeti talep eden müşterilerinden biri olan MCI için bir e-ticaret uygulaması üzerinde çalışıyordu. Kullanıcıların siteyi daha önce ziyaret edip etmediğini doğrulamak ve tercihlerini hatırlamak için çerezleri icat etti.
Haberlerde çerezlerin mahremiyeti ihlal etme potansiyeline ilişkin hikayeler ortaya çıkmaya başladı, ancak kamuoyunun endişesine rağmen Avrupa Birliği, web sitelerinin çerezleri kullanmadan önce kullanıcıların açık rızasını almasını sağlayan mevzuatı 2011 yılında yürürlüğe koymadı.
Çerez İzni Olmadan Yetkisiz Takip
Bu yeni vaka çalışmasında küresel bir perakende müşterisi, web sitelerindeki çeşitli kullanıcı yolculuklarını sürekli olarak izlemeye çalıştı ve 37 alanın, uygun kullanıcı iznini almadan çerezler yerleştirdiğini ortaya çıkardı. Perakende şirketinin geleneksel güvenlik araçları, kurumsal VPN’nin getirdiği ve görünürlüğü sınırlayan kısıtlamalar nedeniyle bu soruna karşı kör kaldı. Ayrıca sahte ve yanlış yapılandırılmış çerezler iFrame bileşenleriWAF gibi standart güvenlik kontrollerinin etkili bir şekilde izlenmesi konusunda zorluklar yaratıyor. Örnek olay çalışmasının tamamını indirin Burada.
Müşterinin Sorunu: VPN’den Kör Olmak
Perakendecinin platformunda halihazırda başka güvenlik çözümleri olmasına rağmen sorun şuydu: Web sitelerinin 37’sinde çerez takibi, ziyaretçilerin açık izni alınmadan gerçekleştiriliyordu. Bu, bir VPN tarafından gizlenen iFrame’ler (bir web sitesindeki içeriği diğerinin içine yerleştirmek için kullanılan) aracılığıyla gerçekleşiyordu. Bu onların faaliyetlerini maskeledi ve çerez izni sorununu diğer güvenlik çözümlerine görünmez hale getirdi.
Her ne kadar bu zarar verici bir gözetim olsa da, en azından veriler kötü niyetli aktörlere gönderilmiyordu. Bunun yerine Reflectiz, meşru bir üçüncü taraf reklam hizmetine gittiğini keşfetti.
Uyumsuzluğun Yüksek Maliyeti
Avrupa Birliği’nde müşterileri olan bir şirket için GDPR geçerlidir ve çerez izni kurallarının ihlali, 2. Kademe kategoride suç olarak sınıflandırılır. Bu düzenleme uyarınca, geçerli çerez izni alamayan işletmeler, küresel yıllık cirolarının %4’üne veya 20 milyon Euro’ya (21,94 milyon $) (hangisi daha büyükse) kadar para cezasına çarptırılabilir. Bir web sitesine bağlı her varlığın davranışlarını takip edebilme yeteneğinin bu kadar önemli olmasının ve Reflectiz’in bu durumda neden bu kadar cankurtaran olduğunun nedeni budur.
Çözüm
Reflectiz diğer çözümlerin göremediklerini gördü. Çerezlerin izinsiz kullanıldığı 37 alanı belirledi, verilerin nereye gönderildiğini keşfetti (bu durumda meşru bir reklamveren) ve perakendeciye sorunu daha fazla büyümeden çözme yetkisi verdi.
Reflectiz platformu perakende, finans, medikal ve diğer sektörlerdeki şirketlere mevzuat uyumluluğunu sürdürmek için ihtiyaç duydukları bilgileri sağlar. veri koruma standartları ve para cezaları, davalar ve itibar kaybıyla sonuçlanabilecek benzer olaylardan kaçının. Uzaktan yürütüldüğü için performansa neredeyse hiçbir etkisi olmuyor ve sezgisel arayüz, çalışanların işe alımının hızlı olduğu anlamına geliyor.
Temel Çıkarımlar
- Onay Gözetimi: Platform, web sitesinde bir izin kutusu bulunmadığından, uygun izinler olmadan enjekte edilen belirli çerezleri tespit edemedi ve kullanıcıları bu konuda bilgilendiremedi.
- VPN Gizliliği Açıklandı: Reflectiz’in izlemesi, başlangıçta Kurumsal VPN tarafından gizlenen bir konuma kadar takip edilen, kullanıcı onayı olmadan çerez enjekte eden 37 alanı açığa çıkardı.
- Üçüncü Taraf Verilerinin İhlali: Güvenliği ihlal edilmiş veriler, belirli bir kullanıcı yolculuğu tarafından tetiklenen yetkisiz çerez enjeksiyonları yoluyla harici bir alana ulaştı.
- Fark Edilmeyen iFrame Takibi: İzlenmeyen iFrame etkinliği, kullanıcı verilerini izinsiz izleyerek gizlilik ihlallerine katkıda bulundu.
- Yanlış Yapılandırılmış Çerez Tehdidi: Yanlış yapılandırılmış bir çerez gizlilik ihlalini kolaylaştırdı ve kullanıcı gizliliğine yönelik önemli bir tehdit oluşturdu.
- İletişim Arızası Dersi: Özellikle güvenlik ve pazarlama arasında olmak üzere departmanlar arası iletişimin iyileştirilmesi, üçüncü taraf kod uygulamasıyla ilgili sorunların önlenmesi açısından çok önemlidir.
- Sürekli İzleme Önemlidir: Vaka, kullanıcının güvenini sürdürmek ve veri koruma düzenlemelerine uymak için sürekli gelişen çevrimiçi gizlilik ortamında sürekli izleme ve dikkatli olmaya yönelik kritik ihtiyacın altını çiziyor.
Daha fazla arka plan ve derinlemesine analiz için vaka çalışmasının tamamını indirebilirsiniz. Burada.