Explore cómo una solución avanzada de gestión de exposición salvó a un importante cliente de la industria minorista de terminar en el paso malo debido a una mala configuración en su política de gestión de cookies. Esto no fue nada malicioso, pero como los entornos web modernos son tan complejos, pueden ocurrir errores y las multas por incumplimiento pueden estar a solo un descuido de distancia.
Descargar el estudio de caso completo aquí.
Cuando eras niño, ¿alguna vez te pillaron con la mano en el tarro de las galletas y te ganaste una reprimenda? Bueno, incluso si todavía recuerdas haber sido descubierto como un monstruo de las galletas, los castigos para las bestias ladrones de hoy son peores. Millones de dólares peores.
Las cookies son una parte esencial de la analítica web moderna. Una cookie es un pequeño fragmento de datos de texto que registra las preferencias de los visitantes del sitio web junto con sus comportamientos, y su función es ayudar a personalizar su experiencia de navegación. Así como hace muchos años necesitaba el consentimiento de los padres para acceder al tarro de cookies, su empresa ahora necesita obtener el consentimiento del usuario antes de inyectar cookies en el navegador de un usuario y luego almacenar o compartir información sobre sus hábitos de navegación.
Como custodio del tarro de galletas del sitio web, su empresa no puede asaltarlo como lo hacía cuando tenía seis años. Debe obtener permiso en ambas situaciones, pero hoy en día el castigo puede consistir en fuertes multas por parte de los reguladores de privacidad de datos y costosas demandas de los usuarios.
Un nuevo estudio de caso de Reflectiz, una empresa líder en seguridad de sitios web, destaca cómo su avanzada gestión de exposición La solución salvó a un importante cliente de la industria minorista de terminar en el escalón malo debido a una mala configuración en su política de administración de cookies. Esto no fue nada malicioso como un hojeado web o ataque de registro de teclaspero dado que los entornos web modernos son tan complejos y empresas como esta tienen cientos de sitios web que mantener, pueden ocurrir errores y las multas por incumplimiento pueden estar a solo un descuido de distancia.
Para conocer la historia completa, puede descargar el estudio de caso. aquí.
Un poco sobre el seguimiento de cookies
Las cookies de seguimiento existen desde los primeros días de Internet. En 1994, Lou Montulli, un programador empleado por el precursor de Netscape, estaba trabajando en una aplicación de comercio electrónico para MCI, uno de sus clientes, que había solicitado un carrito de compras virtual. Inventó las cookies porque verificamos si los usuarios visitaron el sitio antes y recordamos sus preferencias.
Comenzaron a aparecer historias en las noticias sobre el potencial de las cookies para invadir la privacidad, pero a pesar de la preocupación pública, no fue hasta 2011 que la Unión Europea promulgó una legislación para garantizar que los sitios web obtengan el consentimiento explícito de los usuarios antes de utilizar cookies.
Seguimiento no autorizado sin consentimiento de cookies
En este nuevo estudio de caso, un cliente minorista global buscó monitorear continuamente diversos recorridos de los usuarios en sus sitios web y descubrió que 37 dominios estaban inyectando cookies sin obtener el consentimiento adecuado del usuario. Las herramientas de seguridad convencionales de la empresa minorista permanecieron ciegas ante este problema debido a las restricciones impuestas por su VPN organizacional, lo que limitaba la visibilidad. Además, se inyectaron cookies maliciosas y mal configuradas en Componentes de marco flotantelo que crea desafíos para que los controles de seguridad estándar como WAF puedan monitorear de manera efectiva. Descargue el estudio de caso completo aquí.
El problema del cliente: cegado por la VPN
Aunque la plataforma del minorista ya contaba con otras soluciones de seguridad, no se daba cuenta del problema, que era el siguiente: en 37 de sus sitios web, el seguimiento de las cookies se realizaba sin obtener el consentimiento explícito de los visitantes. Esto sucedía a través de iFrames (que se utilizan para incrustar contenido de un sitio web dentro de otro) que estaban ocultos por una VPN. Esto enmascaró sus actividades e hizo que la cuestión del consentimiento de las cookies fuera invisible para las otras soluciones de seguridad.
Aunque se trataba de un descuido perjudicial, al menos los datos no se enviaban a actores maliciosos. En cambio, Reflectiz descubrió que iba a un servicio de publicidad legítimo de terceros.
El alto costo del incumplimiento
Para una empresa con clientes en la Unión Europea, se aplica el RGPD y una violación de sus reglas de consentimiento de cookies se clasifica como un delito de categoría de Nivel 2. Según esta regulación, las empresas que no obtengan un consentimiento válido para las cookies podrían recibir una multa de hasta el 4% de su facturación anual global o 20 millones de euros (21,94 millones de dólares), la cantidad que sea mayor. Por eso es tan importante tener la capacidad de rastrear el comportamiento de cada activo conectado a un sitio web, y por qué Reflectiz fue un salvavidas en este caso.
La solución
Reflectiz vio lo que las otras soluciones no pudieron. Identificó los 37 dominios donde se utilizaban cookies sin consentimiento, descubrió dónde se enviaban los datos (en este caso, un anunciante legítimo) y autorizó al minorista a solucionar el problema antes de que pudiera agravarse.
La plataforma Reflectiz brinda a las empresas de los sectores minorista, financiero, médico y otros los conocimientos que necesitan para mantener el cumplimiento de estándares de protección de datos y evitar incidentes similares que puedan resultar en multas, demandas y daños a la reputación. Se ejecuta de forma remota, por lo que prácticamente no hay impacto en el rendimiento y la interfaz intuitiva significa que la incorporación de los empleados es rápida.
Conclusiones clave
- Supervisión del consentimiento: La plataforma no pudo detectar ni informar a los usuarios sobre ciertas cookies inyectadas sin el consentimiento adecuado, ya que no existía un cuadro de consentimiento en el sitio web.
- Secreto de VPN revelado: El monitoreo de Reflectiz expuso 37 dominios que inyectaban cookies sin la aprobación del usuario, rastreados hasta una ubicación inicialmente oculta por una VPN organizacional.
- Compromiso de datos de terceros: Los datos comprometidos llegaron a un dominio externo a través de inyecciones de cookies no autorizadas provocadas por un recorrido de usuario específico.
- Seguimiento de iFrame desapercibido: La actividad no supervisada de iFrame contribuyó a violaciones de la privacidad al rastrear los datos del usuario sin consentimiento.
- Amenaza de cookies mal configuradas: Una cookie mal configurada facilitó la violación de la privacidad, lo que representa una amenaza importante para la privacidad del usuario.
- Lección sobre el desglose de la comunicación: Mejorar la comunicación entre departamentos, especialmente entre seguridad y marketing, es crucial para evitar problemas relacionados con la implementación de código de terceros.
- Monitoreo continuo crucial: El caso destaca la necesidad crítica de monitoreo y vigilancia continuos en el panorama en constante evolución de la privacidad en línea para mantener la confianza de los usuarios y cumplir con las regulaciones de protección de datos.
Para obtener más información y un análisis en profundidad, puede descargar el estudio de caso completo. aquí.