TikTok’ta reklam vermek, genç bir pazara ulaşmaya çalışan herhangi bir şirket için bariz bir seçimdir; özellikle de Amerikalı Z kuşağının %44’ünün tatillerini planlamak için platformu kullandıklarını söyleyen bir seyahat şirketi söz konusu olduğunda bu durum geçerlidir. Ancak popüler video paylaşım platformundaki reklamlarla genç tatilcileri hedef alan bir çevrimiçi seyahat pazarı, üçüncü taraf bir iş ortağının bölgesel sitelerinden birinde bir TikTok pikselini yanlış yapılandırması nedeniyle GDPR kurallarını çiğnedi. İlgi çekici yeni vaka çalışması sorunu keşfeden siber güvenlik şirketinin veri ihlalinin maliyetli bir sele dönüşmesini nasıl önlediğini ortaya koyuyor.
Vaka çalışmasının tamamı için, buraya tıklayın.
Eve Yakın Tehlikeler
Siber saldırılar genellikle manşetlere çıkar çünkü bilgisayar korsanlığı doğal bir dikkat çekicidir. Saldırıların arkasındaki gruplar, günümüzün haydutları, sayısız kurbanı bir anonimlik maskesinin arkasından çalabilen karanlık kişiler gibi görünüyor. Bunun gibi kimliği belirsiz suçlular her zaman okuyucuların dikkatini çekecektir ve bu anlaşılabilir olsa da, aynı derecede zarar verici olabilecek daha az dramatik güvenlik risklerine de dikkat etmemiz iyi olur.
Eğer haber kaynakları hayatlarımıza yönelik en büyük tehditleri haber yapmaya odaklanırsa, her haberin kalp hastalığını ve bunun nasıl önlenebileceğini kapsayacağı söylenir. olaylardan kat kat daha fazla insanı öldürür savaşlar ve araba kazaları gibi. Siber tehditlerde de durum aynı. Büyük hack’ler bizi oturup not almaya yöneltse de, birçok ihlal “temizlik” konusundaki basit, sıradan başarısızlıklardan kaynaklanıyor ve bu yazıda yer alan şirketin başına gelen de bu. yeni indirilebilir örnek olay çalışması.
Ne oldu?
Konuya dahil olan küresel seyahat pazarının adını vermeyecek olsak da (herhangi bir utançtan kaçınmak için), sorunu yakalayan siber güvenlik şirketinin adı Reflectiz’dir. Ana ürünü, bulgularını net ve sezgisel bir gösterge panosunda sunan, yenilikçi izleme teknolojisine sahip bir platformdur. Kaputun altında, web sitelerini kullanarak tarar özel bir tarayıcı Bu, kullanıcı davranışını taklit eder. Siteye gömülü nesneler de dahil olmak üzere siteye bağlı her üçüncü taraf web uygulamasını veya kod pasajını eşler. iFrame’lerYani herhangi bir kod şüpheli bir davranışta bulunursa veya göndermemesi gereken bir yere veri gönderirse Reflectiz bunu fark eder ve kullanıcıyı uyarır.
Vaka çalışması taramalarından birinin yanlış yapılandırılmış bir TikTok pikselini nasıl ortaya çıkardığını ayrıntılarıyla anlatıyor. TikTok’un 1,6 milyar kullanıcısı var, dolayısıyla adını muhtemelen duymuşsunuzdur. Eğer yapmadıysanız, gençler arasında son derece popüler olan, Çin merkezli bir video paylaşım sosyal medya platformudur. Seyahat şirketi Reflectiz’i kullanmaya başladığında, pikselin hassas kullanıcı verilerini topladığını ve onların izni olmadan TikTok’un Çin sunucularına gönderdiğini tespit etti. doğru şekilde uygulanmamıştı.
Bu vakada herhangi bir kötü niyet varmış gibi görünmese de, her büyüklükteki şirket için çıkarılacak en büyük çıkarım, bunun sonucu değiştirmemesi olmalıdır. Kullanıcıların açık izni olmadan müşteri verilerini yayınlayan çevrimiçi işletmeler yine de veri gizliliği düzenlemeleri GDPR gibi ve düzenleyici de bunları onaylamayı uygun görebilir.
Vaka çalışmasının tamamı için, buraya tıklayın.
Uyumsuzluğun Maliyeti
Uyumsuzluk GDPR (Genel Veri Koruma Yönetmeliği) önemli cezalara yol açabilir:
- Para cezaları: 20 milyon Euro’ya veya yıllık küresel cironun %4’üne kadar (hangisi daha yüksekse). Kesin miktar, ihlalin niteliğine ve kuruluşun büyüklüğüne bağlıdır.
- İtibar Hasarı: Uyumsuzluk bir kuruluşun itibarına zarar verebilir, müşteri güveninin ve potansiyel iş fırsatlarının kaybolmasına neden olabilir.
- İşlemeyi Durdurma Emirleri: Düzenleyici makamlar şirkete kişisel verileri işlemeyi durdurma emri verebilir, bu da iş operasyonlarını kesintiye uğratabilir.
- Tazminat Talepleri: ihlalden etkilenen kişiler tazminat talebinde bulunabilir.
- Artan İnceleme: Uyumlu olmayan kuruluşlar düzenleyici kurumların daha fazla ilgisini çekebilir ve denetimlere tabi tutulabilir.
- Yasal Maliyetler: iddialara veya para cezalarına karşı savunma yapmak önemli yasal masraflara neden olabilir.
Bunların hepsi biraz varsayımsal gibi görünse de, düzenleyiciler harekete geçiyor. İçinde güncel bir örnekHaziran 2024’ten itibaren İsveç Veri Koruma Ajansı (IMY), Facebook Pikselini uygunsuz bir şekilde kullandığı için çevrimiçi bir eczaneye 15 milyon İsveç kronu (yaklaşık 1,45 milyon dolar) para cezası verdi. Eczane, Facebook Pixel’in Otomatik Gelişmiş Eşleştirme (AAM) ve Otomatik Etkinlikler (AE) özelliklerini “yanlışlıkla” etkinleştirdi ve bu da hassas kişisel verilerin Facebook/Meta’ya aktarılmasına neden oldu. Bu kasıtsız ihlal, 2019’dan 2021’e kadar 500.000 ila bir milyon kişiyi etkiledi.
Vaka çalışmasının tamamı için, buraya tıklayın.
Çözüm
Seyahat şirketi örnek olay incelemesindeki ihlalin tam boyutunu bilmesek de Reflectiz’in, TikTok’un yanlış yapılandırmasını daha fazla zarar vermeden önce yakaladığını ve muhtemelen şirkete para cezaları ve itibar kaybı nedeniyle bir servet kazandırdığını biliyoruz.
Reflectiz çok güçlü olmasına rağmen kurulum gerektirmez. Tüm web ekosisteminin haritasını çıkarmak için uzaktan taramayla başlayan basit bir katılım süreci vardır. Bundan sonra tüm hassas web sayfalarını sürekli olarak izler ve herhangi bir web bileşeninin şüpheli etkinliğini tespit edip işaretler.
Çözüm, müşterilerin coğrafi konumlarını yakalama girişimleri veya kameralarını ve mikrofonlarını izinsiz kullanma girişimleri de dahil olmak üzere, müşterilerin faaliyetlerini izinleri olmadan izleyen üçüncü taraf web bileşenlerini tanımlayabiliyor. Tehlikede olan bu kadar çok şey varken hiçbir şirket, izleme pikselinin yanlış yapılandırılması gibi önlenebilir bir şeye yakalanma riskini göze alamaz.
Bu uyarıcı hikayenin tamamı için tam metni indirin vaka çalışması burada.